2024/1183 | 30.4.2024 |
EUROPEAN DIGITAL IDENTITY
REGULAMENTO (UE) 2024/1183 DO PARLAMENTO EUROPEU E DO CONSELHO
De 11 de abril de 2024 que altera o Regulamento (UE) n.o 910/2014 no respeitante à criação do
Regime Europeu para a Identidade Digital
Versão original produzida pelo Conselho Europeu – Português de Portugal
SUMÁRIO
- CONSIDERANDO QUE …
- ADOTARAM O PRESENTE REGULAMENTO
- Artigo 1. o Alteração do Regulamento (UE) n. o 910/2014
- Artigo 2. o Entrada em vigor
- ANEXO I No anexo I do Regulamento (UE) n. o 910/2014, a alínea i) passa a ter a seguinte redação:
- ANEXO II No anexo II do Regulamento (UE) n. o 910/2014, são suprimidos os pontos 3 e 4.
- ANEXO III No Anexo III do Regulamento (UE) n. o 910/2014, a alínea i) passa a ter a seguinte redação:
- ANEXO IV O anexo IV do Regulamento (UE) n. o 910/2014 é alterado do seguinte modo:
- «ANEXO V REQUISITOS APLICÁVEIS AOS CERTIFICADOS ELETRÓNICOS QUALIFICADOS DE ATRIBUTOS
- ANEXO VI «ANEXO VI LISTA MÍNIMA DE ATRIBUTOS
- «ANEXO VII REQUISITOS PARA O CERTIFICADO ELETRÓNICO DE ATRIBUTOS EMITIDO POR UM ORGANISMO DO SETOR PÚBLICO RESPONSÁVEL POR UMA FONTE AUTÊNTICA OU EM SEU NOME
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.o,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu (1),
Tendo em conta o parecer do Comité das Regiões (2),
Deliberando de acordo com o processo legislativo ordinário (3),
CONSIDERANDO QUE …
Considerando o seguinte:
(1) | A Comunicação da Comissão de 19 de fevereiro de 2020, intitulada «Construir o futuro digital da Europa», anuncia uma revisão do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (4) para melhorar a sua eficácia, alargar as suas vantagens ao setor privado e promover a utilização de identidades digitais fiáveis por todos os europeus. |
(2) | Nas suas conclusões de 1 e 2 de outubro de 2020, o Conselho Europeu apelou à Comissão para que apresentasse uma proposta de desenvolvimento de um quadro relativo à identificação eletrónica pública segura em toda a União, incluindo assinaturas digitais interoperáveis, a fim de dar às pessoas o controlo sobre a sua identidade e os seus dados em linha, bem como de permitir o acesso a serviços digitais públicos, privados e transfronteiriços. |
(3) | O Programa Década Digital para 2030, criado pela Decisão (UE) 2022/2481 do Parlamento Europeu e do Conselho (5), estabelece os objetivos e as metas digitais de um quadro da União que, até 2030, se destinam a conduzir à implantação generalizada de uma identidade digital fiável, voluntária e controlada pelo utente, reconhecida em toda a União e que permita a todos os utentes controlar os seus dados nas interações em linha. |
(4) | A «Declaração Europeia sobre os direitos e princípios digitais para a Década Digital», proclamada pelo Parlamento Europeu, pelo Conselho e pela Comissão (6) (a «Declaração»), sublinha o direito de todas as pessoas a acederem a tecnologias, produtos e serviços digitais que sejam seguros e protegidos e que protejam a privacidade desde a conceção. Tal inclui a garantia de que todas as pessoas que vivem na União têm a possibilidade de utilizar uma identidade digital acessível, segura e de confiança que dê acesso a uma vasta gama de serviços em linha e fora de linha e protegida contra riscos de cibersegurança e a cibercriminalidade, incluindo violações de dados e a usurpação ou manipulação da identidade. A Declaração estabelece ainda que todas as pessoas têm direito à proteção dos seus dados pessoais. Este direito inclui o controlo da forma como os seus dados pessoais são utilizados e com quem são partilhados. |
(5) | Os cidadãos e as pessoas residentes na União têm direito a uma identidade digital que esteja sob o seu controlo exclusivo e que lhes permita exercer os seus direitos no ambiente digital e participar na economia digital. A fim de alcançar esse objetivo, deverá ser estabelecido um regime europeu para a identidade digital que permita aos cidadãos e aos residentes na União aceder a serviços públicos e privados em linha e fora de linha em toda a União. |
(6) | Um regime de identidade digital harmonizado deverá contribuir para a criação de uma União mais integrada do ponto de vista digital, ao reduzir as barreiras digitais entre os Estados-Membros e capacitar os cidadãos da União e os residentes na União para usufruírem dos benefícios da digitalização e reforçar simultaneamente a transparência e a proteção dos seus direitos. |
(7) | Uma abordagem mais harmonizada da identificação eletrónica deverá reduzir os riscos e custos da atual fragmentação, causada pela utilização de soluções nacionais divergentes ou, em alguns Estados-Membros, pela ausência de tais soluções de identificação eletrónica. Essa abordagem deverá reforçar o mercado interno, permitindo que os cidadãos da União, os residentes na União, na aceção do direito nacional, e as empresas se identifiquem e autentiquem a sua identidade em linha e fora de linha de forma segura, fiável, de fácil utilização, conveniente, acessível e harmonizada, em toda a União. A carteira europeia de identidade digital deverá proporcionar às pessoas singulares e coletivas em toda a União um meio de identificação eletrónica harmonizado que lhes permita autenticar e partilhar dados relacionados com a sua identidade. Todas as pessoas deverão poder aceder a serviços públicos e privados de forma segura, podendo contar com um ecossistema melhorado de serviços de confiança e provas verificadas de identidade e certificados eletrónicos de atributos, tais como habilitações académicas, incluindo diplomas universitários ou outras qualificações educativas ou profissionais. O Regime Europeu para a Identidade Digital destina-se a alcançar uma transição da dependência exclusiva de soluções de identidade digital nacionais para o fornecimento de certificados eletrónicos de atributos válidos e legalmente reconhecidos em toda a União. Os fornecedores de certificados eletrónicos de atributos deverão beneficiar de um conjunto claro e uniforme de regras, ao passo que as administrações públicas deverão poder confiar em documentos eletrónicos num determinado formato. |
(8) | Vários Estados-Membros implementaram e utilizam meios de identificação eletrónica que são aceites pelos prestadores de serviços na União. Além disso, foram realizados investimentos em soluções nacionais e transfronteiriças com base no Regulamento (UE) n.o 910/2014, nomeadamente a interoperabilidade dos sistemas de identificação eletrónica notificados nos termos desse regulamento. A fim de garantir a complementaridade e a rápida adoção das carteiras europeias de identidade digital pelos atuais utentes de meios de identificação eletrónica notificados e de minimizar o impacto nos prestadores de serviços existentes, espera-se que as carteiras europeias de identidade digital tirem partido da experiência adquirida com os meios de identificação eletrónica existentes e das infraestruturas de sistemas de identificação eletrónica notificados implantadas a nível nacional e da União. |
(9) | O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (7) e, se for caso disso, a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (8) aplicam-se a todas as atividades de tratamento de dados pessoais ao abrigo do Regulamento (UE) n.o 910/2014. As soluções no âmbito do quadro de interoperabilidade previsto no presente regulamento também obedecem a essas regras. O direito da União em matéria de proteção de dados prevê princípios de proteção de dados, como o princípio da minimização dos dados e da limitação das finalidades e obrigações, como a proteção de dados desde a conceção e por defeito. |
(10) | Para apoiar a competitividade das empresas da União, os prestadores de serviços em linha e fora de linha deverão poder contar com soluções de identidade digital reconhecidas em toda a União, independentemente do Estado-Membro em que essas soluções tenham sido fornecidas, beneficiando assim de uma abordagem da União harmonizada em matéria de confiança, segurança e interoperabilidade. Tanto os utentes como os prestadores de serviços deverão poder beneficiar do mesmo valor jurídico conferido aos certificados eletrónicos de atributos na União. Um regime harmonizado para a identidade digital destina-se a criar valor económico ao permitir um acesso facilitado a bens e serviços, ao reduzir significativamente os custos operacionais associados aos procedimentos de identificação e autenticação eletrónicas, por exemplo, durante a adesão de novos clientes, ao diminuir as potencialidades para cibercrimes, como a usurpação da identidade, o roubo de dados e a fraude em linha, promovendo assim ganhos de eficiência e uma transformação digital segura das micro, pequenas e médias empresas (PME) da União. |
(11) | As carteiras europeias de identidade digital deverão facilitar a aplicação do princípio «uma só vez», reduzindo assim os encargos administrativos, apoiando a mobilidade transfronteiriça dos cidadãos e residentes na União e das empresas em toda a União e promovendo o desenvolvimento de serviços de administração pública em linha interoperáveis em toda a União. |
(12) | O Regulamento (UE) 2016/679, o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (9) e a Diretiva 2002/58/CE aplicam-se ao tratamento dos dados pessoais realizado em aplicação do presente regulamento. Por conseguinte, o presente regulamento deverá estabelecer garantias específicas para impedir que os fornecedores de meios de identificação eletrónica e de certificados eletrónicos de atributos combinem dados pessoais obtidos ao prestar outros serviços com dados pessoais tratados para prestar os serviços abrangidos pelo âmbito de aplicação do presente regulamento. Os dados pessoais relacionados com o fornecimento de carteiras europeias de identidade digital deverão ser conservados logicamente separados de quaisquer outros dados detidos pelo fornecedor da carteira europeia de identidade digital. O presente regulamento não deverá impedir os fornecedores de carteiras europeias de identidade digital de aplicarem medidas técnicas adicionais que contribuam para a proteção dos dados pessoais, como a separação física dos dados pessoais relacionados com o fornecimento de carteiras europeias de identidade digital em relação a quaisquer outros dados detidos pelo fornecedor. Sem prejuízo do Regulamento (UE) 2016/679, o presente regulamento especifica ainda a aplicação dos princípios da limitação das finalidades, da minimização dos dados e da proteção de dados desde a conceção e por defeito. |
(13) | As carteiras europeias de identidade digital deverão ter incorporada na sua conceção a função de um painel comum, a fim de garantir aos utentes um nível mais elevado de transparência, privacidade e controlo dos seus dados pessoais. Essa função deverá oferecer ao utente uma interface simples de utilizar e intuitiva com uma panorâmica de todos os utilizadores com os quais partilha dados, incluindo os atributos, e o tipo de dados partilhados com cada utilizador. Deverá permitir aos utentes rastrear todas as transações executadas por meio da carteira europeia de identidade digital com base, pelo menos, nos seguintes dados: a hora e a data da operação, a identificação da contraparte, os dados pessoais solicitados e os dados partilhados. Estas informações deverão ser armazenadas mesmo que a transação não seja concluída. Não deverá ser possível contestar a autenticidade das informações contidas no historial da transação. Tal função deverá estar ativada por defeito. Deverá permitir que os utentes facilmente solicitem o apagamento imediato por parte de um utilizador de dados pessoais nos termos do artigo 17.o do Regulamento (UE) 2016/679 e que facilmente denunciem o utilizador à autoridade nacional competente em matéria de proteção de dados caso seja recebido um pedido de dados pessoais alegadamente ilícito ou suspeito, diretamente através da carteira europeia de identidade digital. |
(14) | Os Estados-Membros deverão integrar diferentes tecnologias de preservação da privacidade, como a prova de conhecimento zero, na carteira europeia de identidade digital. Esses métodos criptográficos deverão permitir ao utente validar a veracidade de determinada declaração baseada nos dados de identificação e no certificado de atributos da pessoa, sem revelar quaisquer dados em que essa declaração se baseia, preservando assim a privacidade do utente. |
(15) | O presente regulamento estabelece condições harmonizadas para a criação de um regime para as carteiras europeias de identidade digital a fornecer pelos Estados-Membros. Todos os cidadãos da União, e residentes na União na aceção do direito nacional, deverão estar habilitados a solicitar, selecionar, combinar, armazenar, apagar, partilhar e apresentar, de forma segura, dados relacionados com a sua identidade e solicitar o apagamento dos seus dados pessoais de uma forma de fácil utilização e conveniente, sob o controlo exclusivo do utente, permitindo simultaneamente a divulgação seletiva de dados pessoais. O presente regulamento reflete os valores europeus comuns e respeita os direitos fundamentais, as garantias jurídicas e a responsabilidade, protegendo assim as sociedades democráticas, os cidadãos da União e os residentes na União. As tecnologias utilizadas para alcançar esses objetivos deverão ser desenvolvidas visando o mais elevado nível de segurança, privacidade, conveniência para o utente, acessibilidade, uma ampla usabilidade e uma interoperabilidade sem descontinuidade. Os Estados-Membros deverão assegurar a igualdade de acesso à identificação eletrónica a todos os seus cidadãos e residentes. Os Estados-Membros não deverão restringir, direta ou indiretamente, o acesso a serviços públicos ou privados a pessoas singulares ou coletivas que optem por não utilizar carteiras europeias de identidade digital e deverão disponibilizar soluções alternativas adequadas. |
(16) | Os Estados-Membros deverão recorrer às possibilidades previstas no presente regulamento para fornecer, sob a sua responsabilidade, carteiras europeias de identidade digital para utilização pelas pessoas singulares e coletivas residentes no seu território. A fim de proporcionar flexibilidade aos Estados-Membros e alavancar a tecnologia de ponta, o presente regulamento deverá permitir a disponibilização de carteiras europeias de identidade digital diretamente por um Estado-Membro, nos termos de um mandato de um Estado-Membro, ou independentemente do Estado-Membro, mas reconhecida pelo mesmo. |
(17) | Para efeitos de registo, os utilizadores deverão fornecer as informações necessárias para permitir a sua identificação e autenticação eletrónicas relativamente às carteiras europeias de identidade digital. Ao declararem a utilização que preveem fazer da carteira europeia de identidade digital, os utilizadores deverão fornecer informações sobre os dados que irão solicitar, se for caso disso, a fim de prestarem os seus serviços, bem como o motivo para solicitar os dados. O registo do utilizador facilita a verificação dos Estados-Membros no que diz respeito à legalidade das atividades dos utilizadores, em conformidade com o direito da União. A obrigação de registo prevista no presente regulamento não deverá prejudicar as obrigações estabelecidas noutros atos legislativos da União ou nacionais, tais como as informações a fornecer aos titulares dos dados nos termos do Regulamento (UE) 2016/679. Os utilizadores deverão respeitar as garantias previstas nos artigos 35.o e 36.o do referido regulamento, nomeadamente mediante a realização de avaliações de impacto sobre a proteção de dados e de consultas às autoridades competentes em matéria de proteção de dados antes do tratamento de dados, sempre que as avaliações de impacto sobre a proteção de dados indiquem que o tratamento implicaria um risco elevado. Essas garantias deverão apoiar o tratamento lícito de dados pessoais pelos utilizadores, em especial no que respeita a categorias especiais de dados, como os dados de saúde. O registo dos utilizadores destina-se a reforçar a transparência e a confiança na utilização das carteiras europeias de identidade digital. O registo deverá ser eficaz em termos de custos e proporcionado em relação aos riscos conexos, a fim de assegurar a adesão dos prestadores de serviços. Nesse contexto, o registo deverá prever a utilização de procedimentos automatizados, incluindo o recurso aos registos existentes e a sua utilização pelos Estados-Membros, e não deverá implicar processos de autorização prévia. O processo de registo deverá permitir uma variedade de tipos de utilização, que podem diferir em termos de modo de funcionamento, em linha ou fora de linha, ou em termos do requisito de autenticação de dispositivos com o objetivo de servir de interface para a carteira europeia de identidade digital. O registo deverá aplicar-se exclusivamente aos utilizadores que prestam serviços por meio da interação digital. |
(18) | A proteção dos cidadãos da União e residentes na União contra a utilização não autorizada ou fraudulenta de carteiras europeias de identidade digital é de grande importância para garantir a confiança e a ampla adesão às carteiras europeias de identidade digital. Os utentes deverão beneficiar de proteção eficaz contra essa utilização abusiva. Em especial, quando os factos que constituem a base da utilização fraudulenta ou ilegal de uma carteira europeia de identidade digital são estabelecidos por uma autoridade judicial nacional no contexto de outro procedimento, os organismos de supervisão responsáveis pelos emitentes de carteiras europeias de identidade digital deverão, após notificação, tomar as medidas necessárias para assegurar que o registo do utilizador e a inclusão de utilizadores no mecanismo de autenticação são retirados ou suspensos até que a autoridade notificadora confirme que as irregularidades identificadas foram corrigidas. |
(19) | Todas as carteiras europeias de identidade digital deverão permitir aos utentes identificarem-se por via eletrónica e autenticarem-se em linha e em modo fora de linha além-fronteiras para aceder a um vasto leque de serviços públicos e privados. Sem prejuízo das prerrogativas dos Estados-Membros no que diz respeito à identificação dos seus cidadãos e residentes, as carteiras europeias de identidade digital podem também servir as necessidades institucionais das administrações públicas, das organizações internacionais e das instituições, órgãos e organismos da União. A autenticação em modo fora de linha será importante em muitos setores, nomeadamente o setor da saúde onde os serviços são amiúde prestados através de uma interação presencial e onde a verificação da autenticidade das receitas eletrónicas deverá poder basear-se em códigos QR ou tecnologias similares. Graças ao nível de garantia elevado no que toca aos sistemas de identificação eletrónica, as carteiras europeias de identidade digital deverão beneficiar do potencial oferecido por soluções à prova de manipulações, como elementos seguros, para cumprir os requisitos de segurança previstos no presente regulamento. As carteiras europeias de identidade digital deverão também permitir aos utentes criar e utilizar assinaturas e selos eletrónicos qualificados que sejam aceites em toda a União. Uma vez tendo aderido a uma carteira europeia de identidade digital, as pessoas singulares deverão poder utilizá-la para assinar com assinaturas eletrónicas qualificadas, por defeito e gratuitamente, sem necessidade de quaisquer procedimentos administrativos adicionais. Os utentes deverão ser capazes de assinar ou selar autodeclarações ou atributos por si declarados. No intuito de simplificar e de reduzir custos em prol das pessoas e empresas na União, nomeadamente ao permitir poderes de representação e mandatos eletrónicos, os Estados-Membros deverão fornecer carteiras europeias de identidade digital que recorram a normas e especificações técnicas comuns a fim de assegurar uma interoperabilidade sem descontinuidade e aumentar adequadamente o nível de segurança informática, reforçar a robustez contra ciberataques e, assim, reduzir significativamente os potenciais riscos da digitalização em curso para os cidadãos da União, os residentes na União e as empresas. Apenas as autoridades competentes dos Estados-Membros podem oferecer um elevado nível de confiança na determinação da identidade de uma pessoa e, portanto, assegurar que a pessoa que reivindica ou declara ter uma determinada identidade é efetivamente a pessoa que alega ser. Por conseguinte, o fornecimento de carteiras europeias de identidade digital deverá assentar na identidade jurídica dos cidadãos da União, residentes na União ou pessoas coletivas. O recurso à identidade jurídica não deverá impedir os utentes das carteiras europeias de identidade digital de acederem a serviços sob pseudónimo, sempre que não exista qualquer requisito jurídico de recorrer à identidade jurídica para fins de autenticação. A confiança nas carteiras europeias de identidade digital será reforçada se as partes emitentes e gestoras forem obrigadas a implementar medidas técnicas e organizacionais adequadas para garantir o máximo nível de segurança proporcional aos riscos criados para os direitos e liberdades das pessoas singulares, em consonância com o Regulamento (UE) 2016/679. |
(20) | A utilização de assinaturas eletrónicas qualificadas deverá ser gratuita para todas as pessoas singulares para fins não profissionais. Os Estados-Membros deverão ter a possibilidade de prever medidas destinadas a impedir a utilização gratuita de assinaturas eletrónicas qualificadas para fins profissionais por pessoas singulares, assegurando simultaneamente que tais medidas sejam proporcionais aos riscos identificados e sejam justificadas. |
(21) | É vantajoso facilitar a adoção e a utilização das carteiras europeias de identidade digital, integrando-as sem descontinuidade no ecossistema de serviços digitais públicos e privados já implementados a nível nacional, local ou regional. Para alcançar este objetivo, os Estados-Membros deverão ter a possibilidade prever medidas jurídicas e organizacionais para dotar os fornecedores de carteiras europeias de identidade digital de maior flexibilidade e para permitir funcionalidades adicionais das carteiras europeias de identidade digital além das previstas no presente regulamento, nomeadamente através de uma maior interoperabilidade com os meios nacionais de identificação eletrónica existentes. Tais funcionalidades adicionais não deverão, de modo algum, prejudicar a prestação de funções essenciais das carteiras europeias de identidade digital, tal como previstas no presente regulamento, nem promover soluções nacionais existentes em detrimento das carteiras europeias de identidade digital. Uma vez que vão além do âmbito do presente regulamento, tais funcionalidades adicionais não beneficiam das disposições relativas ao recurso transfronteiriço às carteiras europeias de identidade digital estabelecidas no presente regulamento. |
(22) | As carteiras europeias de identidade digital deverão incluir uma funcionalidade que permita gerar pseudónimos escolhidos e geridos pelo utente, a fim de autenticar-se quando aceder a serviços em linha. |
(23) | A fim de alcançar um elevado nível de segurança e confiança, o presente regulamento estabelece os requisitos aplicáveis às carteiras europeias de identidade digital. A conformidade das carteiras europeias de identidade digital com esses requisitos deverá ser certificada por organismos de avaliação de conformidade acreditados designados pelos Estados-Membros. |
(24) | A fim de evitar divergências nas abordagens e de harmonizar a aplicação dos requisitos estabelecidos no presente regulamento, a Comissão deverá, para fins de certificação de carteiras europeias de identidade digital, adotar atos de execução a fim de definir uma lista de normas de referência e, se necessário, estabelecer especificações e procedimentos com o objetivo de formular especificações técnicas pormenorizadas desses requisitos. Se a certificação da conformidade das carteiras europeias de identidade digital com os requisitos de cibersegurança pertinentes não estiver abrangida pelos sistemas de certificação da cibersegurança existentes a que se refere o presente regulamento, e no que diz respeito aos requisitos não relacionados com a cibersegurança, mas que sejam pertinentes para as carteiras europeias de identidade digital, os Estados-Membros deverão estabelecer sistemas nacionais de certificação em conformidade com os requisitos harmonizados estabelecidos e adotados nos termos do presente regulamento. Os Estados Membros deverão transmitir os seus projetos de sistemas nacionais de certificação ao Grupo de Cooperação Europeia para a Identidade Digital, que deverá poder emitir pareceres e recomendações. |
(25) | A certificação da conformidade com os requisitos de cibersegurança estabelecidos no presente regulamento deverá basear-se, sempre que possível, nos sistemas europeus de certificação da cibersegurança pertinentes criados nos termos do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho (10), que estabelece um enquadramento europeu de certificação voluntária da cibersegurança para produtos, processos e serviços de TIC. |
(26) | A fim de avaliar e atenuar continuamente os riscos associados à segurança, as carteiras europeias de identidade digital certificadas deverão ser sujeitas a avaliações periódicas da vulnerabilidade destinadas a detetar qualquer vulnerabilidade nos componentes certificados do produto, dos processos e dos serviços da carteira europeia de identidade digital. |
(27) | Ao proteger os utentes e as empresas contra os riscos de cibersegurança, os requisitos essenciais de cibersegurança estabelecidos no presente regulamento contribuem também para reforçar a proteção dos dados pessoais e da privacidade das pessoas. Importa ponderar o desenvolvimento de sinergias, tanto em matéria de normalização como de certificação dos aspetos de cibersegurança, através da cooperação entre a Comissão, as organizações europeias de normalização, a Agência da União Europeia para a Cibersegurança (ENISA), o Comité Europeu para a Proteção de Dados criado pelo Regulamento (UE) 2016/679, e as autoridades nacionais de controlo da proteção de dados. |
(28) | A adesão dos cidadãos da União e residentes na União à carteira europeia de identidade digital deverá ser facilitada com base em meios de identificação eletrónica emitidos com um nível de garantia elevado. Os meios de identificação eletrónica emitidos com um nível de garantia substancial só deverão ser utilizados nos casos em que as especificações e os procedimentos técnicos harmonizados que utilizam meios de identificação eletrónica emitidos com esse nível, em combinação com meios suplementares de verificação da identidade, permitam o cumprimento dos requisitos estabelecidos no presente regulamento no que diz respeito ao nível de garantia elevado. Esses meios suplementares deverão ser fiáveis e de fácil utilização e poderão basear-se na possibilidade de utilizar procedimentos de adesão à distância, certificados qualificados por assinaturas eletrónicas qualificadas, certificados eletrónicos qualificados de atributos ou uma combinação dos mesmos. A fim de assegurar a adoção suficiente das carteiras europeias de identidade digital, deverão ser estabelecidos, por meio de atos de execução, especificações e procedimentos técnicos harmonizados para a adesão dos utentes através de meios de identificação eletrónica, incluindo os emitidos com um nível de garantia substancial. |
(29) | O objetivo do presente regulamento é proporcionar ao utente uma carteira europeia de identidade digital totalmente móvel, segura e de fácil utilização. Como medida transitória enquanto se aguardam soluções certificadas à prova de manipulações, tais como elementos seguros nos dispositivos dos utentes, as carteiras europeias de identidade digital deverão poder basear-se em elementos seguros externos certificados para a proteção do material criptográfico e de outros dados sensíveis ou em meios de identificação eletrónica notificadas com um nível de garantia elevado, a fim de demonstrar a conformidade com os requisitos pertinentes do presente regulamento no que diz respeito ao nível de garantia da carteira europeia de identidade digital. O presente regulamento não deverá prejudicar as condições nacionais no que diz respeito à emissão e utilização de um elemento de segurança externo certificado, caso a medida transitória dependa desse elemento. |
(30) | As carteiras europeias de identidade digital deverão garantir o mais elevado nível de proteção e segurança dos dados para efeitos de identificação eletrónica e autenticação, a fim de facilitar o acesso a serviços públicos e privados, independentemente de esses dados serem armazenados localmente ou por soluções em nuvem, tendo em devida conta os diferentes níveis de risco. |
(31) | As carteiras europeias de identidade digital deverão ser seguras desde a conceção e deverão assentar em dispositivos de segurança avançados que protejam contra a usurpação de identidade e de outros dados, a recusa de serviço e qualquer outra ciberameaça. Tais dispositivos deverão incluir métodos de cifragem e de armazenamento de ponta, apenas acessíveis ao utente e que apenas o próprio possa decifrar, assentes numa comunicação cifrada de extremo a extremo com outras carteiras europeias de identidade digital e utilizadores. Além disso, as carteiras europeias de identidade digital deverão exigir uma confirmação segura, explícita e ativa do utente para as operações realizadas por meio de carteiras europeias de identidade digital. |
(32) | A utilização gratuita de carteiras europeias de identidade digital não deverá implicar o tratamento de dados para além dos dados necessários para a prestação de serviços de carteira europeia de identidade digital. O presente regulamento não deverá permitir que os dados pessoais armazenados ou resultantes da utilização da carteira europeia de identidade digital sejam tratados pelo fornecedor da carteira europeia de identidade digital para outros fins que não a prestação de serviços de carteira europeia de identidade digital. A fim de salvaguardar a privacidade, os fornecedores de carteiras europeias de identidade digital deverão garantir a não observabilidade, abstendo-se de recolher dados e de ter conhecimento das transações dos utentes da carteira europeia de identidade digital. Tal não observabilidade significa que os fornecedores não podem ver os pormenores das transações efetuadas pelo utente. Contudo, em casos específicos, com base no consentimento prévio explícito do utente para cada caso, e em plena conformidade com o Regulamento (UE) 2016/679, os fornecedores de carteiras europeias de identidade digital podem ser autorizados a aceder às informações necessárias para a prestação de um serviço específico relacionado com a carteira europeia de identidade digital. |
(33) | A transparência das carteiras europeias de identidade digital e a responsabilização dos seus fornecedores constituem elementos essenciais para gerar confiança social e motivar a aceitação do regime. Por conseguinte, o funcionamento das carteiras europeias de identidade digital deverá ser transparente e, em especial, permitir o tratamento verificável dos dados pessoais. Para o efeito, os Estados-Membros deverão divulgar o código-fonte dos componentes de software da aplicação do utente das carteiras europeias de identidade digital, incluindo os componentes relacionados com o tratamento de dados pessoais e de dados de pessoas coletivas. A publicação deste código-fonte ao abrigo de uma licença de código aberto deverá permitir à sociedade, incluindo os utentes e os programadores, compreender o seu funcionamento, auditar e rever o código. Tal aumentará também a confiança dos utentes no ecossistema e contribuirá para a segurança das carteiras europeias de identidade digital, dando a qualquer pessoa a possibilidade de assinalar vulnerabilidades e erros no código, o que, em termos globais, deverá incentivar os fornecedores a proporcionar e manter um produto altamente seguro. No entanto, em determinados casos, por razões devidamente justificadas, especialmente para fins de segurança pública, a divulgação do código-fonte para as bibliotecas utilizadas, o canal de comunicação ou outros elementos não alojados no dispositivo do utente pode ser restringida pelos Estados-Membros. |
(34) | O direito e a escolha de utilizar as carteiras europeias de identidade digital, bem como de interromper a sua utilização, deverão caber exclusivamente aos utentes. Os Estados-Membros deverão desenvolver procedimentos simples e seguros para que os utentes possam pedir a revogação imediata da validade das carteiras europeias de identidade digital, inclusive em caso de perda ou roubo. Em caso de morte do utente ou de cessação da atividade de uma pessoa coletiva, deverá existir um mecanismo que permita à autoridade responsável pelo processo de sucessão da pessoa singular ou pela liquidação dos ativos da pessoa coletiva pedir a revogação imediata da carteira europeia de identidade digital. |
(35) | A fim de promover a adoção de carteiras europeias de identidade digital e uma utilização mais generalizada das identidades digitais, os Estados-Membros deverão não só promover os benefícios dos serviços pertinentes, mas deverão também, em cooperação com o setor privado, os investigadores e o meio académico, desenvolver programas de formação destinados a reforçar as competências digitais dos seus cidadãos e residentes, em especial os grupos vulneráveis, como as pessoas com deficiência e os idosos. Os Estados-Membros deverão também sensibilizar para os benefícios e riscos das carteiras europeias de identidade digital através de campanhas de comunicação. |
(36) | A fim de garantir que o Regime Europeu para a Identidade Digital está aberto à inovação, ao desenvolvimento tecnológico e preparado para o futuro, os Estados-Membros são encorajados a criar conjuntamente espaços de experimentação para testar soluções inovadoras num ambiente controlado e seguro, em especial, para melhorar a funcionalidade, a proteção dos dados pessoais, a segurança e a interoperabilidade das soluções e contribuir para futuras atualizações de referências técnicas e requisitos legais. Este ambiente deverá promover a inclusão de pequenas e médias empresas, empresas em fase de arranque e de inovadores e investigadores, bem como das partes interessadas do setor. Essas iniciativas deverão contribuir e reforçar a conformidade regulamentar e a robustez técnica das carteiras europeias de identidade digital a fornecer aos cidadãos da União e residentes na União, impedindo assim o desenvolvimento de soluções que não cumpram o direito da União em matéria de proteção de dados ou que estejam sujeitas a vulnerabilidades no que toca à segurança. |
(37) | O Regulamento (UE) 2019/1157 do Parlamento Europeu e do Conselho (11) reforça a segurança dos bilhetes de identidade com dispositivos de segurança melhorados até agosto de 2021. Os Estados-Membros deverão ponderar a viabilidade de os notificar ao abrigo dos sistemas de identificação eletrónica para alargar a disponibilidade transfronteiriça de meios de identificação eletrónica. |
(38) | O processo de notificação dos sistemas de identificação eletrónica deverá ser simplificado e acelerado para promover o acesso a soluções de autenticação e identificação convenientes, de confiança, seguras e inovadoras e, quando pertinente, para encorajar os fornecedores de identidade privados a oferecer sistemas de identificação eletrónica às autoridades dos Estados-Membros para notificação enquanto sistemas nacionais de identificação eletrónica ao abrigo do Regulamento (UE) n.o 910/2014. |
(39) | A simplificação dos procedimentos atuais de notificação e avaliação pelos pares evitará abordagens heterogéneas no que respeita à avaliação dos vários sistemas de identificação eletrónica notificados e facilitará o reforço da confiança entre Estados-Membros. Os mecanismos novos e simplificados destinam-se a promover a cooperação entre Estados-Membros em matéria de segurança e interoperabilidade dos seus sistemas de identificação eletrónica notificados. |
(40) | Os Estados-Membros deverão beneficiar de ferramentas novas e flexíveis para garantir a conformidade com os requisitos do presente regulamento e dos atos de execução pertinentes adotados nos termos do mesmo. O presente regulamento deverá permitir aos Estados-Membros utilizar relatórios e avaliações, realizados por organismos de avaliação da conformidade acreditados, tal como previsto no contexto dos sistemas de certificação que deverão ser criados a nível da União nos termos do Regulamento (UE) 2019/881, para fundamentar as suas alegações sobre o alinhamento dos sistemas ou parte dos mesmos com o Regulamento (UE) n.o 910/2014. |
(41) | Os prestadores de serviços públicos utilizam os dados de identificação pessoal disponíveis a partir de meios de identificação eletrónica nos termos do Regulamento (UE) n.o 910/2014 para fazer corresponder a identidade eletrónica dos utentes de outros Estados-Membros aos dados de identificação pessoal fornecidos a esses utentes no Estado-Membro que executa o processo transfronteiriço de correspondência de identidade. No entanto, em muitos casos, apesar da utilização do conjunto mínimo de dados fornecido ao abrigo dos sistemas de identificação eletrónica notificados, a garantia de uma correspondência exata da identidade quando os Estados-Membros atuam como utilizadores exige informações adicionais sobre o utente, bem como procedimentos complementares específicos de identificação única a realizar a nível nacional. A fim de reforçar a usabilidade dos meios de identificação eletrónica, proporcionar melhores serviços públicos em linha e aumentar a segurança jurídica em relação à identidade eletrónica dos utentes, o Regulamento (UE) n.o 910/2014 deverá exigir que os Estados-Membros tomem medidas específicas em linha para assegurar a correspondência inequívoca da identidade quando os utentes pretendam aceder a serviços públicos transfronteiriços em linha. |
(42) | Ao desenvolver carteiras europeias de identidade digital, é essencial ter em conta as necessidades dos utentes. Deverão estar disponíveis casos de utilização e serviços em linha significativos que recorrem às carteiras europeias de identidade digital. Por razões de conveniência dos utentes e a fim de assegurar a disponibilidade transfronteiriça desses serviços, é importante tomar medidas para facilitar uma abordagem semelhante quanto à conceção, desenvolvimento e implementação de serviços em linha em todos os Estados-Membros. Orientações não vinculativas sobre a forma de conceber, desenvolver e implementar serviços em linha que recorrem às carteiras europeias de identidade digital poderão revelar-se um instrumento útil para alcançar esse objetivo. Tais orientações deverão ser elaboradas tendo em conta o quadro de interoperabilidade da União. Os Estados-Membros deverão desempenhar um papel de liderança ao adotarem essas orientações. |
(43) | Em consonância com a Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho (12), as pessoas com deficiência deverão poder utilizar as carteiras europeias de identidade digital, os serviços de confiança e os produtos destinados ao utente final utilizados na prestação desses serviços em condições iguais às dos restantes utentes. |
(44) | A fim de assegurar uma aplicação eficaz do presente regulamento, deverá ser estabelecido um nível mínimo para o valor máximo das coimas impostas aos prestadores qualificados e não qualificados de serviços de confiança. Os Estados-Membros deverão prever sanções efetivas, proporcionadas e dissuasivas. Ao determinar as sanções, deverão ser devidamente tidos em conta a dimensão das entidades afetadas, os seus modelos de negócio e a gravidade das infrações. |
(45) | Os Estados-Membros deverão estabelecer regras em matéria de sanções aplicáveis às infrações, tais como práticas diretas ou indiretas que conduzam a confusão entre serviços de confiança não qualificados e qualificados ou à utilização abusiva da marca de confiança «UE» por prestadores não qualificados de serviços de confiança. A marca de confiança «UE» não deverá ser utilizada em condições que, direta ou indiretamente, levem a crer que quaisquer serviços de confiança não qualificados oferecidos por estes prestadores sejam qualificados. |
(46) | O presente regulamento não deverá abranger os aspetos relacionados com a celebração e a validade de contratos ou outras obrigações legais quando estes estabeleçam requisitos de caráter formal previstos no direito da União ou nacional. Além disso, não deverá afetar os requisitos nacionais de caráter formal aplicáveis aos registos públicos, em particular, registos comerciais e prediais. |
(47) | A prestação e a utilização de serviços de confiança e os benefícios em termos de conveniência e segurança jurídica no contexto das transações transfronteiriças, em especial quando são utilizados serviços de confiança qualificados, estão a tornar-se cada vez mais importantes para o comércio e a cooperação internacionais. Os parceiros internacionais da União estão a criar regimes de confiança inspirados no Regulamento (UE) n.o 910/2014. A fim de facilitar o reconhecimento dos serviços de confiança qualificados e dos respetivos fornecedores, a Comissão pode adotar atos de execução para estabelecer as condições que permitem considerar os regimes de confiança de países terceiros equivalentes ao regime de confiança para os serviços de confiança qualificados e os seus prestadores previsto no presente regulamento. Tal abordagem deverá complementar a possibilidade de reconhecimento mútuo de serviços de confiança e dos seus prestadores estabelecidos na União e em países terceiros nos termos do artigo 218.o do Tratado sobre o Funcionamento da União Europeia (TFUE). Ao estabelecer as condições para considerar que os regimes de confiança de países terceiros são equivalentes ao regime de confiança para os serviços de confiança qualificados e os seus prestadores nos termos do Regulamento (UE) n.o 910/2014, deverá também ser assegurada a conformidade com as disposições pertinentes da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (13) e do Regulamento (UE) 2016/679, bem como a utilização de listas de confiança como elementos essenciais para criar confiança. |
(48) | O presente regulamento deverá promover a escolha e a possibilidade de optar entre várias carteiras europeias de identidade digital sempre que um Estado-Membro tenha aprovado mais do que uma solução de carteiras europeias de identidade digital para o seu território. A fim de evitar efeitos de dependência nessas situações, sempre que tal seja tecnicamente viável, os fornecedores de carteiras europeias de identidade digital deverão assegurar a portabilidade efetiva dos dados a pedido dos utentes de carteiras europeias de identidade digital, e não deverão ser autorizados a levantar obstáculos contratuais, económicos ou técnicos para impedir ou desincentivar a mudança efetiva entre diferentes carteiras europeias de identidade digital. |
(49) | A fim de assegurar o bom funcionamento das carteiras europeias de identidade digital, os fornecedores de carteiras europeias de identidade digital necessitam de uma interoperabilidade efetiva e de condições justas, razoáveis e não discriminatórias para que as carteiras europeias de identidade digital tenham acesso a funcionalidades específicas do hardware e do software dos dispositivos móveis. Esses componentes podem incluir, em especial, antenas de campo próximo e elementos seguros, incluindo cartões universais com circuito integrado, elementos seguros incorporados, cartões microSD e Bluetooth de baixa energia. O acesso a esses componentes poderá estar sob o controlo dos operadores de redes móveis e dos fabricantes de equipamentos. Por conseguinte, sempre que necessário para prestar os serviços das carteiras europeias de identidade digital, os fabricantes de equipamentos de origem de dispositivos móveis ou os prestadores de serviços de comunicações eletrónicas não deverão recusar o acesso a esses componentes. Além disso, as empresas designadas como controladores de acesso para serviços essenciais de plataforma enumerados pela Comissão nos termos do Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho (14) deverão continuar sujeitas às disposições específicas desse regulamento, com base no seu artigo 6.o, n.o 7. |
(50) | A fim de simplificar as obrigações em matéria de cibersegurança impostas aos prestadores de serviços de confiança, bem como de permitir a esses prestadores e às respetivas autoridades competentes beneficiarem do regime jurídico instituído pela Diretiva (UE) 2022/2555, os serviços de confiança são obrigados a adotar medidas técnicas e organizacionais adequadas nos termos da dessa diretiva, nomeadamente medidas que respondam a falhas do sistema, erro humano, ações maliciosas ou fenómenos naturais para gerir os riscos colocados à segurança da rede e aos sistemas de informação que esses prestadores utilizam na prestação dos seus serviços, bem como para notificar incidentes significativos e ciberameaças de acordo com essa diretiva. No que diz respeito à comunicação de incidentes, os prestadores de serviços de confiança deverão notificar todos os incidentes com um impacto significativo na prestação dos seus serviços, nomeadamente os causados por roubo ou perda de dispositivos, danos nos cabos da rede ou ocorridos no contexto da identificação de pessoas. Os requisitos de gestão dos riscos de cibersegurança e as obrigações de notificação previstos na Diretiva (UE) 2022/2555 deverão ser considerados complementares em relação aos requisitos impostos aos prestadores de serviços de confiança no âmbito do presente regulamento. Sempre que adequado, as práticas ou orientações nacionais estabelecidas em relação à implementação de requisitos de segurança e prestação de informações e à supervisão da conformidade com esses requisitos nos termos do Regulamento (UE) n.o 910/2014 deverão continuar a ser aplicadas pelas autoridades competentes designadas ao abrigo da Diretiva (UE) 2022/2555. O presente regulamento não afeta a obrigação de notificar violações de dados pessoais nos termos do Regulamento (UE) 2016/679. |
(51) | Importa prestar a devida atenção à garantia de uma cooperação eficaz entre as entidades supervisoras designadas nos termos do artigo 46.o-B do Regulamento (UE) n.o 910/2014 e as autoridades competentes designadas ou criadas nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555. Caso essa entidade supervisora seja diferente dessa autoridade competente, as duas deverão cooperar estreitamente, em tempo útil, por meio do intercâmbio das informações pertinentes, a fim de assegurar uma supervisão eficaz e o cumprimento pelos prestadores de serviços de confiança dos requisitos estabelecidos no Regulamento (UE) n.o 910/2014 e na Diretiva (UE) 2022/2555. Em especial, as entidades supervisoras designadas nos termos do Regulamento (UE) n.o 910/2014 deverão estar habilitadas a pedir à autoridade competente designada ou criada nos termos da Diretiva (UE) 2022/2555 que preste as informações pertinentes necessárias para conceder o estatuto de qualificado e para levar a cabo as ações de supervisão destinadas a verificar se os prestadores de serviços de confiança cumprem os requisitos pertinentes previstos na Diretiva (UE) 2022/2555 ou a exigir-lhes que corrijam as situações de incumprimento. |
(52) | É essencial prever um regime jurídico para facilitar o reconhecimento transfronteiriço entre os sistemas jurídicos nacionais vigentes no que diz respeito aos serviços de envio registado eletrónico. Esse regime também pode abrir novas oportunidades aos prestadores de serviços de confiança da União para oferecerem novos serviços de envio registado eletrónico à escala da União. A fim de assegurar que os dados que utilizam um serviço de envio registado eletrónico qualificado são entregues ao destinatário correto, os serviços qualificados de envio registado eletrónico deverão assegurar com total certeza a identificação do destinatário, ao passo que para a identificação do remetente é suficiente um elevado nível de confiança. Os Estados-Membros deverão incentivar os prestadores de serviços qualificados de envio registado eletrónico a tornar os seus serviços interoperáveis com os serviços de envio registado eletrónico qualificados prestados por outros prestadores qualificados de serviços de confiança, a fim de transferir facilmente os dados registados eletrónicos entre dois ou mais prestadores qualificados de serviços de confiança e de promover práticas leais no mercado interno. |
(53) | Na maioria dos casos, os cidadãos da União e os residentes na União não podem trocar, além-fronteiras, informações digitais relacionadas com a sua identidade, tais como o seu endereço, idade e habilitações profissionais, carta de condução e outras licenças e dados de pagamento, de forma segura e com um elevado nível de proteção dos dados. |
(54) | Deverá ser possível emitir e tratar atributos eletrónicos fiáveis e contribuir para reduzir os encargos administrativos, permitindo que os cidadãos da União e os residentes na União os utilizem nas suas transações privadas e públicas. Os cidadãos da União e os residentes na União deverão poder, por exemplo, comprovar a titularidade de uma carta de condução válida emitida por uma autoridade de um Estado-Membro, que as autoridades competentes de outros Estados-Membros possam verificar e corroborar, e utilizar as suas credenciais de segurança social ou os futuros documentos de viagem digitais num contexto transfronteiriço. |
(55) | Qualquer prestador de serviços que emita atributos certificados em formato eletrónico, tais como diplomas, licenças, certidões de nascimento ou habilitações e mandatos para representar ou agir em nome de pessoas singulares ou coletivas deverá ser considerada um prestador de serviços de confiança de certificados eletrónicos de atributos. Não podem ser negados efeitos legais a um certificado eletrónico de atributos pelo facto de se apresentar em formato eletrónico ou de não cumprir os requisitos do certificado eletrónico qualificado de atributos. Deverão ser estabelecidos requisitos gerais que garantam que um certificado eletrónico qualificado de atributos tem um efeito legal equivalente ao dos certificados emitidos legalmente em suporte de papel. Contudo, esses requisitos deverão aplicar-se sem prejuízo do direito da União ou nacional que defina requisitos setoriais específicos suplementares no tocante ao formato com efeitos legais subjacentes e, em especial, ao reconhecimento transfronteiriço de certificados eletrónicos qualificados de atributos, se for caso disso. |
(56) | A ampla disponibilidade e usabilidade das carteiras europeias de identidade digital deverão reforçar a sua aceitação e confiança nas mesmas, tanto por particulares como por prestadores de serviços privados. Por conseguinte, os utilizadores privados que prestem serviços, por exemplo, nos domínios dos transportes, da energia, dos serviços bancários e financeiros, da segurança social, da saúde, da água potável, dos serviços postais, das infraestruturas digitais, das telecomunicações ou da educação deverão aceitar a utilização das carteiras europeias de identidade digital para a prestação de serviços sempre que o direito da União ou nacional ou uma obrigação contratual exijam a autenticação forte do utente. Qualquer pedido efetuado por um utilizador relativo a informações do utente de uma carteira europeia de identidade digital deverá ser necessário e proporcionado à utilização prevista num determinado caso, deverá estar em conformidade com o princípio da minimização dos dados e deverá assegurar a transparência no que diz respeito aos dados que são partilhados e aos respetivos fins. A fim de facilitar a utilização e a aceitação da carteira europeia de identidade digital, deverão ser tidas em conta na sua implantação as normas e especificações do setor amplamente aceites. |
(57) | Sempre que plataformas em linha de muito grande dimensão, na aceção do artigo 33.o, n.o 1, do Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho (15), exijam que os utentes estejam autenticados para aceder a serviços em linha, deverão ser obrigadas a aceitar a utilização de carteiras europeias de identidade digital mediante pedido voluntário do utente. Os utentes não deverão ser obrigados a utilizar uma carteira europeia de identidade digital para aceder a serviços privados e não deverão sofrer restrições ou dificuldades para aceder aos serviços por não utilizarem uma carteira europeia de identidade digital. No entanto, se os utentes o desejarem, as plataformas em linha de muito grande dimensão deverão aceitá-las para esse efeito, respeitando simultaneamente o princípio da minimização dos dados e o direito de os utentes utilizarem pseudónimos livremente escolhidos. Atendendo à importância das plataformas em linha de muito grande dimensão, devido ao seu alcance, expresso, nomeadamente, em termos de número de destinatários do serviço e de transações económicas, a obrigação de aceitar as carteiras europeias de identidade digital é necessária para aumentar a proteção dos utentes contra fraudes e garantir um elevado nível de proteção dos dados. |
(58) | Deverão ser elaborados códigos de conduta a nível da União com vista a contribuir para a disponibilidade e usabilidade generalizadas de meios de identificação eletrónica, nomeadamente as carteiras europeias de identidade digital, no âmbito do presente regulamento. Os códigos de conduta deverão facilitar a aceitação generalizada dos meios de identificação eletrónica, incluindo das carteiras europeias de identidade digital, pelos prestadores de serviços que não são considerados plataformas de muito grande dimensão e que recorrem a serviços de identificação eletrónica de terceiros para a autenticação dos utentes. |
(59) | A divulgação seletiva é um conceito que habilita o proprietário dos dados a divulgar apenas determinadas partes de um conjunto de dados mais vasto, a fim de que a entidade recetora obtenha apenas as informações necessárias à prestação de um serviço solicitado pelo utente. A carteira europeia de identidade digital deverá permitir tecnicamente a divulgação seletiva de atributos aos utilizadores. Deverá ser tecnicamente possível aos utentes divulgar seletivamente atributos, inclusive a partir de vários certificados eletrónicos distintos, e combiná-los e apresentá-los aos utilizadores sem descontinuidade. Esta funcionalidade deverá tornar-se uma funcionalidade da conceção de base das carteiras europeias de identidade digital, permitindo assim reforçar a conveniência e a proteção de dados pessoais, incluindo a minimização de dados. |
(60) | A menos que regras específicas do direito da União ou nacional exijam que os utentes se identifiquem, o acesso aos serviços por intermédio da utilização de um pseudónimo não deverá ser proibido. |
(61) | Os atributos fornecidos pelos prestadores qualificados de serviços de confiança no âmbito do certificado qualificado de atributos deverão ser verificados por confronto com as fontes autênticas diretamente pelo prestador qualificado de serviço de confiança ou através de intermediários designados reconhecidos a nível nacional em conformidade com o direito da União ou nacional para efeitos de intercâmbio seguro de atributos certificados entre prestadores de serviços de identidade ou de certificados de atributos e utilizadores. Os Estados-Membros deverão estabelecer mecanismos adequados a nível nacional para assegurar que os prestadores qualificados de serviços de confiança que emitem certificados eletrónicos qualificados de atributos possam, com base no consentimento da pessoa a quem o certificado é emitido, verificar a autenticidade dos atributos com base em fontes autênticas. Os mecanismos adequados deverão poder incluir a utilização de intermediários específicos ou soluções técnicas em conformidade com o direito nacional que permitam o acesso a fontes autênticas. Assegurar a disponibilidade de um mecanismo que permita a verificação de atributos por confronto com fontes autênticas destina-se a facilitar o cumprimento pelos prestadores qualificados de serviços de confiança de certificados eletrónicos qualificados de atributos das obrigações que lhes incumbem por força do Regulamento (UE) n.o 910/2014. Um novo anexo desse regulamento deverá conter uma lista de categorias de atributos relativamente às quais os Estados-Membros devem assegurar que são tomadas medidas para permitir que os fornecedores qualificados de certificados eletrónicos de atributos verifiquem, por via eletrónica, a pedido do utente, a sua autenticidade por confronto com a fonte autêntica pertinente. |
(62) | A identificação eletrónica segura e o fornecimento de certificados de atributos deverão oferecer flexibilidade e soluções adicionais ao setor dos serviços financeiros, a fim de permitir a identificação de clientes e o intercâmbio de atributos específicos necessários para cumprir, por exemplo, os requisitos do dever de diligência relativo à clientela ao abrigo de um futuro regulamento que criará a Autoridade para o Combate ao Branqueamento de Capitais, os requisitos de adequação decorrentes da legislação em matéria de proteção dos investidores, ou para apoiar o cumprimento dos requisitos de autenticação forte dos clientes para a identificação em linha no início de sessão ou início de transações no domínio dos serviços de pagamento. |
(63) | Os efeitos legais de uma assinatura eletrónica não devem ser postos em causa pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos da assinatura eletrónica qualificada. No entanto, cabe ao direito nacional estabelecer o efeito jurídico das assinaturas eletrónicas, exceto no que diz respeito aos requisitos previstos no presente regulamento segundo os quais o efeito legal de uma assinatura qualificada eletrónica deva ser considerado equivalente ao de uma assinatura manuscrita. Ao determinar os efeitos legais das assinaturas eletrónicas, os Estados-Membros deverão ter em conta o princípio da proporcionalidade entre o valor jurídico de um documento a assinar e o nível de segurança e o custo que a assinatura eletrónica exige. Para aumentar a acessibilidade e a utilização das assinaturas eletrónicas, os Estados-Membros são incentivados a ponderar a utilização de assinaturas eletrónicas avançadas nas transações quotidianas, para as quais proporcionam um nível suficiente de segurança e de confiança. |
(64) | A fim de assegurar a coerência das práticas de certificação em toda a União, a Comissão deverá emitir orientações sobre a certificação e a recertificação dos dispositivos qualificados de criação de assinaturas eletrónicas e dos dispositivos de criação de selos eletrónicos qualificados, incluindo a sua validade e limitações temporais. O presente regulamento não impede os organismos públicos ou privados que disponham de dispositivos qualificados de criação de assinaturas eletrónicas certificados de recertificar temporariamente tais dispositivos durante um curto período de certificação válido, com base nos resultados dos processos de certificação prévios, caso tal recertificação não possa ser efetuada dentro do prazo legalmente estabelecido por um motivo que não seja uma violação ou um incidente de segurança, sem prejuízo da obrigação de realizar uma avaliação da vulnerabilidade e sem prejuízo da prática de certificação aplicável. |
(65) | A emissão de certificados para autenticação de sítios Web visa dar aos utentes uma garantia, com um elevado nível de confiança na identidade da entidade responsável pelo sítio Web, independentemente da plataforma utilizada para a visualização dessa identificação. Esses certificados deverão contribuir para a criação de confiança na realização de negócios em linha, pois os utilizadores terão confiança nos sítios Web que tenham sido autenticados. A utilização de tais certificados pelos sítios Web deverá ser voluntária. Para que a autenticação de sítios Web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e incentivar o crescimento no mercado interno, o presente regulamento estabelece um regime de confiança que inclui obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos fornecedores de certificados qualificados para autenticação de sítios Web e requisitos para a emissão desses certificados. As listas de confiança nacionais deverão confirmar o estatuto qualificado dos serviços de autenticação de sítios Web e dos seus prestadores de serviços de confiança, incluindo a sua plena conformidade com os requisitos do presente regulamento no que diz respeito à emissão de certificados qualificados de autenticação de sítios Web. O reconhecimento de certificados qualificados de autenticação de sítios Web, significa que os fornecedores de navegadores Web não deverão recusar a autenticidade dos certificados qualificados de autenticação de sítios Web com o objetivo único de atestar a ligação entre o nome de domínio do sítio Web e a pessoa singular ou coletiva a quem o certificado é emitido ou de confirmar a identidade dessa pessoa. Os fornecedores de navegadores Web deverão apresentar os dados de identificação certificados e os outros atributos certificados ao utente final de forma que seja de fácil utilização no ambiente do navegador, através dos meios técnicos da sua escolha. Para o efeito, os fornecedores de navegadores Web deverão assegurar apoio e interoperabilidade com certificados qualificados de autenticação de sítios Web emitidos em plena conformidade com o presente regulamento. A obrigação de reconhecimento e interoperabilidade de certificados qualificados de autenticação de sítios Web, bem como o apoio aos mesmos, não afeta a liberdade dos fornecedores de navegadores Web de garantirem a segurança na Web, a autenticação de domínios e a cifragem do tráfego na Web da forma e com a tecnologia que considerem mais adequada. A fim de contribuir para a segurança em linha dos utentes finais, os fornecedores de navegadores Web deverão, em circunstâncias excecionais, poder tomar medidas de precaução que sejam necessárias e proporcionadas em resposta a preocupações fundamentadas relativas a violações da segurança ou à perda de integridade de um certificado ou conjunto de certificados identificados. Caso tomem essas medidas de precaução, os fornecedores de navegadores Web deverão notificar, sem demora indevida, a Comissão, a entidade supervisora nacional a entidade à qual o certificado foi emitido e o prestador qualificado de serviços de confiança que emitiu esse certificado ou conjunto de certificados, qualquer suspeita no que diz respeito a tal violação da segurança ou perda de integridade, bem como as medidas tomadas relativamente ao certificado único ou conjunto de certificados. Essas medidas não deverão prejudicar a obrigação de os fornecedores de navegadores Web reconhecerem certificados qualificados de autenticação de sítios Web em conformidade com as listas de confiança nacionais. Para proteger melhor os cidadãos da União e os residentes na União e promover a utilização de certificados qualificados para autenticação de sítios Web, as autoridades públicas dos Estados-Membros deverão equacionar incorporar certificados qualificados de autenticação de sítios Web nos respetivos sítios Web. As medidas previstas no presente regulamento que visam aumentar a coerência entre as abordagens e práticas divergentes dos Estados-Membros em matéria de procedimentos de supervisão destinam-se a contribuir para aumentar a confiança na segurança, qualidade e disponibilidade de certificados qualificados para autenticação de sítios Web. |
(66) | Muitos Estados-Membros introduziram requisitos nacionais para os serviços que asseguram um arquivo eletrónico seguro e fiável, a fim de permitir a conservação a longo prazo de dados e documentos eletrónicos, e serviços de confiança associados. No intuito de garantir a segurança jurídica, a confiança e a harmonização entre os Estados-Membros, deverá ser estabelecido um regime jurídico para os serviços de arquivo eletrónico qualificados, inspirado no regime dos outros serviços de confiança estabelecido no presente regulamento. O regime jurídico para os serviços de arquivo eletrónico qualificados deverá proporcionar aos prestadores de serviços de confiança e aos utentes um conjunto de instrumentos eficiente que inclua requisitos funcionais para o serviço de arquivo eletrónico, bem como efeitos jurídicos claros quando é utilizado um serviço de arquivo eletrónico qualificado. Essas disposições deverão aplicar-se aos dados eletrónicos e aos documentos eletrónicos criados em formato eletrónico, bem como aos documentos em papel que tenham sido digitalizados. Se for necessário, estas disposições deverão permitir que os dados eletrónicos e documentos eletrónicos conservados sejam transferidos em diferentes suportes ou formatos, a fim de alargar a sua durabilidade e legibilidade para além do período de validade tecnológica, evitando ao mesmo tempo, tanto quanto possível, a perda e a alteração. Se os dados e documentos eletrónicos apresentados ao serviço de arquivo eletrónico contiverem uma ou mais assinaturas eletrónicas qualificadas ou selos eletrónicos qualificados, o serviço deverá utilizar procedimentos e tecnologias capazes de alargar a sua fiabilidade durante o período de conservação desses dados, eventualmente com base na utilização de outros serviços de confiança qualificados estabelecidos pelo presente regulamento. A fim de se criar provas de conservação em caso de utilização de assinaturas eletrónicas, selos eletrónicos ou selos temporais eletrónicos, deverão ser utilizados serviços de confiança qualificados. Na medida em que os serviços de arquivo eletrónico não estejam harmonizados pelo presente regulamento, os Estados-Membros deverão poder manter ou introduzir disposições nacionais, em conformidade com o direito da União, relativas a esses serviços, tais como disposições específicas para serviços integrados numa organização e utilizados apenas para arquivos internos dessa organização. O presente regulamento não deverá distinguir entre os dados eletrónicos e os documentos eletrónicos criados em formato eletrónico e documentos físicos que tenham sido digitalizados. |
(67) | As atividades dos arquivos e das instituições da memória nacionais, na sua qualidade de organizações dedicadas à preservação do património documental de interesse público, são geralmente reguladas pelo direito nacional e não prestam necessariamente serviços de confiança na aceção do presente regulamento. Na medida em que estas instituições não prestem tais serviços de confiança, o presente regulamento não prejudica o seu funcionamento. |
(68) | Os livros-razão eletrónicos são uma sequência de registos eletrónicos de dados que deverão assegurar a sua integridade e a exatidão da sua ordem cronológica. Os livros-razão eletrónicos deverão estabelecer uma sequência cronológica de registos de dados. Em conjugação com outras tecnologias, deverão contribuir para soluções para serviços públicos mais eficientes e transformadores, tais como a votação eletrónica, a cooperação transfronteiriça das autoridades aduaneiras, a cooperação transfronteiriça das instituições académicas e o registo da propriedade de bens imóveis em registos prediais descentralizados. Os livros-razão eletrónicos qualificados deverão estabelecer uma presunção legal para a ordem sequencial única e precisa e para a integridade dos registos de dados no livro-razão. Devido às suas especificidades, como a ordem cronológica sequencial de registos de dados, os livros-razão eletrónicos deverão ser distinguidos de outros serviços de confiança, como os selos temporais eletrónicos e os serviços de envio registado eletrónico. Para garantir a segurança jurídica e promover a inovação, há que criar um regime jurídico ao nível da União que preveja o reconhecimento transfronteiriço de serviços de confiança para o registo de dados em livros-razão eletrónicos. Tal deverá impedir suficientemente que o mesmo ativo digital seja copiado e vendido mais do que uma vez a diferentes partes. O processo de criação e atualização de um livro-razão eletrónico depende do tipo utilizado, nomeadamente se é centralizado ou distribuído. O presente regulamento deverá assegurar a neutralidade tecnológica, nomeadamente não favorecendo nem discriminando qualquer tecnologia utilizada para implementar o novo serviço de confiança para os livros-razão eletrónicos. Além disso, aquando da elaboração dos atos de execução que especifiquem os requisitos aplicáveis aos livros-razão eletrónicos qualificados, a Comissão deverá ter em conta os indicadores de sustentabilidade relativos a quaisquer impactos negativos no clima ou outros impactos negativos relacionados com o ambiente, utilizando metodologias adequadas. |
(69) | O papel dos prestadores de serviços de confiança de livros-razão eletrónicos deverá consistir em verificar o registo sequencial dos dados no livro-razão. O presente regulamento não prejudica quaisquer obrigações legais dos utentes de livros-razão eletrónicos ao abrigo do direito da União ou nacional. Por exemplo, os casos de utilização que envolvam o tratamento de dados pessoais deverão cumprir o disposto no Regulamento (UE) 2016/679 e os casos de utilização relacionados com serviços financeiros deverão cumprir a legislação aplicável da União em matéria de serviços financeiros. |
(70) | A fim de evitar a fragmentação e os entraves no mercado interno, decorrentes da existência de normas divergentes e de restrições técnicas, e com vista a assegurar um processo coordenado para evitar afetar a execução do Regime Europeu para a Identidade Digital, afigura-se necessário um processo de cooperação estreita e estruturada entre a Comissão, os Estados-Membros, a sociedade civil, o meio académico e o setor privado. Para alcançar este objetivo, os Estados-Membros e a Comissão deverão cooperar no âmbito do quadro estabelecido na Recomendação (UE) 2021/946 da Comissão (16), a fim de identificar um conjunto de instrumentos comuns a nível da União para um Regime Europeu para a Identidade Digital. Nesse contexto, os Estados-Membros deverão chegar a acordo relativamente a uma arquitetura técnica abrangente e um regime de referência, um conjunto de normas comuns e referências técnicas, incluindo normas reconhecidas em vigor e um conjunto de orientações e descrições de boas práticas que contemplem, pelo menos, todas as funcionalidades e a interoperabilidade das carteiras europeias de identidade digital, incluindo as assinaturas eletrónicas, e dos prestadores qualificados de certificados eletrónicos de atributos conforme estabelecido no presente regulamento. Neste contexto, os Estados-Membros deverão também chegar a acordo sobre elementos comuns de um modelo de negócio e a estrutura de taxas para as carteiras europeias de identidade digital, a fim de facilitar a adesão, em especial pelas PME num contexto transfronteiriço. O conteúdo do conjunto de instrumentos deverá evoluir em paralelo e refletir o resultado do debate e do processo de adoção do Regime Europeu para a Identidade Digital. |
(71) | O presente regulamento proporciona um nível harmonizado de qualidade, fiabilidade e segurança dos serviços de confiança qualificados, independentemente do local onde as operações são realizadas. Por conseguinte, um prestador qualificado de serviços de confiança deverá ser autorizado a externalizar as suas operações relacionadas com a prestação de um serviço de confiança qualificado num país terceiro, caso esse país terceiro forneça garantias adequadas, assegurando que as atividades de supervisão e as auditorias possam ser executadas como se fossem realizadas na União. Se o cumprimento do presente regulamento não puder ser plenamente assegurado, as entidades supervisoras deverão poder adotar medidas proporcionadas e justificadas, incluindo a retirada do estatuto de qualificado do serviço de confiança prestado. |
(72) | Para garantir a segurança jurídica no que respeita à validade de assinaturas eletrónicas avançadas com base em certificados qualificados, é essencial especificar a avaliação pelo utilizador que efetua a validação dessa assinatura eletrónica avançada com base em certificados qualificados. |
(73) | Os prestadores de serviços de confiança deverão utilizar métodos criptográficos que reflitam as boas práticas atuais e aplicações fiáveis desses algoritmos, a fim de garantir a segurança e a fiabilidade dos seus serviços de confiança. |
(74) | O presente regulamento estabelece para os prestadores qualificados de serviços de confiança a obrigação de verificarem a identidade de uma pessoa singular ou coletiva a quem o certificado qualificado ou o certificado eletrónico qualificado de atributos é emitido com base em vários métodos harmonizados em toda a União. A fim de assegurar que os certificados qualificados e os certificados eletrónicos qualificados de atributos são emitidos à pessoa a que pertencem e que atestam o conjunto correto e único de dados que representam a identidade dessa pessoa, os prestadores qualificados de serviços de confiança que emitem certificados qualificados ou emitem certificados eletrónicos qualificados de atributos deverão, no momento da emissão desses certificados e atestados, assegurar com total certeza a identificação dessa pessoa. Além disso, para além da verificação obrigatória da identidade da pessoa, se for caso disso para a emissão de certificados qualificados e aquando da emissão de um certificado eletrónico qualificado de atributos, os prestadores qualificados de serviços de confiança deverão assegurar com total certeza a correção e a exatidão dos atributos certificados da pessoa a quem o certificado qualificado ou o certificado eletrónico qualificado de atributos é emitido. Essas obrigações de resultados e de total certeza na verificação dos dados certificados deverão ser suportadas por meios adequados, nomeadamente utilizando um ou, se necessário, uma combinação de métodos específicos previstos pelo presente regulamento. Deverá ser possível combinar esses métodos para fornecer uma base adequada para a verificação da identidade da pessoa a quem é emitido o certificado qualificado ou um certificado eletrónico qualificado de atributos. Deverá ser possível incluir nessa combinação o recurso a meios de identificação eletrónica que cumpram os requisitos do nível de garantia substancial, associados a outros meios de verificação da identidade que permitam o cumprimento dos requisitos harmonizados estabelecidos no presente regulamento no que diz respeito ao nível de garantia elevado no âmbito de procedimentos adicionais harmonizados à distância, assegurando a identificação com um elevado nível de certeza. Esses métodos deverão incluir a possibilidade de o prestador qualificado de serviços de confiança que emite um certificado eletrónico qualificado de atributos verificar os atributos a atestar por meios eletrónicos a pedido do utente, em conformidade com o direito da União ou nacional, nomeadamente por confronto com fontes autênticas. |
(75) | A fim de assegurar que o presente regulamento acompanha a evolução mundial e de seguir as boas práticas no mercado interno, os atos delegados e de execução adotados pela Comissão deverão ser revistos e, se necessário, atualizados regularmente. A avaliação da necessidade dessas atualizações deverá ter em conta as novas tecnologias, práticas, normas ou especificações técnicas. |
(76) | Atendendo a que os objetivos do presente regulamento, a saber, o desenvolvimento do Regime Europeu para a Identidade Digital e de um regime para os serviços de confiança a nível da União, não podem ser suficientemente alcançados pelos Estados-Membros, mas podem, devido à dimensão ou aos efeitos da ação, ser mais bem alcançados ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos. |
(77) | A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725. |
(78) | Por conseguinte, o Regulamento (UE) n.o 910/2014 deverá ser alterado em conformidade, |
ADOTARAM O PRESENTE REGULAMENTO
Artigo 1.o Alteração do Regulamento (UE) n.o 910/2014
O Regulamento (UE) n.o 910/2014 é alterado do seguinte modo:
1) | O artigo 1.o passa a ter a seguinte redação: «Artigo 1.o Objeto O presente regulamento visa assegurar o bom funcionamento do mercado interno e a disponibilização de um nível adequado de segurança dos meios de identificação eletrónica e dos serviços de confiança utilizados em toda a União, a fim de permitir e facilitar o exercício, por pessoas singulares e coletivas, do direito de participar na sociedade digital em segurança e de aceder aos serviços públicos e privados em linha em toda a União. Para o efeito, o presente regulamento: a) Estabelece as condições em que os Estados-Membros devem reconhecer os meios de identificação eletrónica de pessoas singulares e coletivas abrangidas por um sistema de identificação eletrónica notificado de outro Estado-Membro e fornecer e reconhecer carteiras europeias de identidade digital; b) Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrónicas; c) Estabelece um regime jurídico para as assinaturas eletrónicas, os selos eletrónicos, os selos temporais eletrónicos, os documentos eletrónicos, os serviços de envio registado eletrónico, os serviços de certificados para autenticação de sítios Web, o arquivo eletrónico, o certificado eletrónico de atributos, dispositivos de criação de assinaturas eletrónicas, dispositivos de criação de selos eletrónicos, e os livros-razão eletrónicos.»; |
2) | O artigo 2.o é alterado do seguinte modo: a) O n.o 1 passa a ter a seguinte redação: «1. O presente regulamento aplica-se aos sistemas de identificação eletrónica notificados pelos Estados-Membros, às carteiras europeias de identidade digital fornecidas por um Estado-Membro e aos prestadores de serviços de confiança estabelecidos na União.»; b) O n.o 3 passa a ter a seguinte redação: «3. O presente regulamento não prejudica o direito da União ou nacional em matéria de celebração e validade de contratos, outras obrigações legais ou de natureza processual relacionadas com a forma ou requisitos setoriais específicos relativos à forma. 4. O presente regulamento não prejudica o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (*1). (*1) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).»;” |
3) | O artigo 3.o é alterado do seguinte modo: a) Os pontos 1) a 5) passam a ter a seguinte redação: «1) “Identificação eletrónica”: o processo de utilização dos dados de identificação pessoal em formato eletrónico que representem de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva; 2) “Meio de identificação eletrónica”: uma unidade material e/ou imaterial, que contenha os dados de identificação pessoal e que é utilizada para autenticação para um serviço em linha ou, se for caso disso, um serviço fora de linha; 3) “Dados de identificação pessoal”: um conjunto de dados que é emitido de acordo com o direito da União ou nacional e que permite determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva; 4) “Sistema de identificação eletrónica”: um sistema de identificação eletrónica ao abrigo do qual sejam emitidos meios de identificação eletrónica para as pessoas singulares ou coletivas, ou para as pessoas singulares que representem outras pessoas singulares ou pessoas coletivas; 5) “Autenticação”: o processo eletrónico que permite a confirmação da identificação eletrónica de uma pessoa singular ou coletiva ou a confirmação da origem e integridade de dados em formato eletrónico;»; b) É inserido o seguinte ponto: «5-A) “Utente”: uma pessoa singular ou coletiva, ou uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva, que utiliza serviços de confiança ou meios de identificação eletrónica, prestados em conformidade com o presente regulamento;»; c) O ponto 6) passa a ter a seguinte redação: «6) “Utilizador”: uma pessoa singular ou coletiva que recorre à identificação eletrónica, às carteiras europeias de identidade digital ou a outros meios de identificação eletrónica, ou a um serviço de confiança;»; d) O ponto 16) passa a ter a seguinte redação: «16) “Serviço de confiança”: um serviço eletrónico geralmente prestado mediante remuneração, que consista num dos seguintes: a) Na emissão de certificados de assinaturas eletrónicas, certificados de selos eletrónicos, certificados de autenticação de sítios Web ou certificados para a prestação de outros serviços de confiança; b) Na validação de certificados de assinaturas eletrónicas, certificados de selos eletrónicos, certificados de autenticação de sítios Web ou certificados para a prestação de outros serviços de confiança; c) Na criação de assinaturas eletrónicas ou de selos eletrónicos; d) Na validação de assinaturas eletrónicas ou de selos eletrónicos; e) Na conservação de assinaturas eletrónicas, de selos eletrónicos, de certificados de assinaturas eletrónicas ou de certificados de selos eletrónicos; f) Na gestão de dispositivos de criação de assinaturas eletrónicas à distância ou dispositivos de criação de selos eletrónicos à distância; g) Na emissão de certificados eletrónicos de atributos; h) Na validação de certificados eletrónicos de atributos; i) Na criação de selos temporais eletrónicos; j) Na validação de selos temporais eletrónicos; k) Na prestação de serviços de envio registado eletrónico; l) Na validação dos dados transmitidos através de serviços de envio registado eletrónico e comprovativos conexos; m) No arquivo eletrónico de dados eletrónicos e de documentos eletrónicos; n) No registo de dados eletrónicos num livro-razão eletrónico;»; e) O ponto 18) passa a ter a seguinte redação: «18) “Organismo de avaliação da conformidade”: um organismo de avaliação da conformidade na aceção do artigo 2.o, ponto 13, do Regulamento (CE) n.o 765/2008, que é acreditado nos termos do mesmo regulamento como sendo competente para efetuar a avaliação da conformidade de um prestador qualificado de serviços de confiança e dos serviços de confiança qualificados que aquele presta, ou como sendo competente para proceder à certificação de carteiras europeias de identidade digital ou de meios de identificação eletrónica;»; f) O ponto 21) passa a ter a seguinte redação: «21) “Produto”: equipamento informático ou software, ou componentes pertinentes de equipamento informático ou software, que se destinam a ser utilizados para a prestação de serviços de identificação eletrónica e de serviços de confiança;»; g) São aditados os seguintes pontos: «23-A) “Dispositivo qualificado de criação de assinaturas eletrónicas à distância”: um dispositivo qualificado de criação de assinaturas eletrónicas gerido por um prestador qualificado de serviços de confiança nos termos do artigo 29.o-A em nome de um signatário; 23-B) “Dispositivo qualificado de criação de selos eletrónicos à distância”: um dispositivo qualificado de criação de selos eletrónicos gerido por um prestador qualificado de serviços de confiança nos termos do artigo 39.o-A em nome de um criador de selos;»; h) O ponto 38) passa a ter a seguinte redação: «38) “Certificado de autenticação de sítios Web”: um atestado eletrónico que torne possível autenticar um sítio Web e associe o sítio Web à pessoa singular ou coletiva à qual o certificado tenha sido emitido;»; i) O ponto 41) passa a ter a seguinte redação: «41) “Validação”: o processo pelo qual é verificada e confirmada a validade dos dados em formato eletrónico em conformidade com o presente regulamento;»; j) São aditados os seguintes pontos: «42) “Carteira europeia de identidade digital”: um meio de identificação eletrónica que permite ao utente armazenar, gerir e validar de forma segura dados de identificação pessoal e certificados eletrónicos de atributos, com o objetivo de os fornecer aos utilizadores e a outros utentes de carteiras europeias de identidade digital, e assinar com assinatura eletrónica qualificada e apor selos com selos eletrónicos qualificados; 43) “Atributo”: uma característica, qualidade, direito ou autorização de uma pessoa singular ou coletiva ou de um objeto; 44) “Certificado eletrónico de atributos”: um certificado em formato eletrónico que permite a autenticação de atributos; 45) “Certificado eletrónico qualificado de atributos”: um certificado eletrónico de atributos que é emitido por um prestador qualificado de serviços de confiança e satisfaz os requisitos estabelecidos no anexo V; 46) “Certificado eletrónico de atributos emitido por um organismo do setor público responsável por uma fonte autêntica, ou em seu nome”: um certificado eletrónico de atributos emitido por um organismo do setor público responsável por uma fonte autêntica ou por um organismo do setor público designado pelo Estado-Membro para emitir tais certificados de atributos em nome dos organismos do setor público responsáveis pelas fontes autênticas, em conformidade com o artigo 45.o-F e o anexo VII; 47) “Fonte autêntica”: um repositório ou sistema, sob a responsabilidade de um organismo do setor público ou de uma entidade privada, que contém e fornece atributos relativos a uma pessoa singular ou coletiva ou a um objeto e é considerado uma fonte principal dessa informação ou reconhecido como autêntico de acordo com o direito da União ou nacional, incluindo a prática administrativa; 48) “Arquivo eletrónico”: um serviço que assegura a receção, o armazenamento, a recuperação e a supressão de dados eletrónicos e de documentos eletrónicos, a fim de assegurar a sua durabilidade e legibilidade, bem como para preservar a sua integridade, confidencialidade e prova de origem durante todo o período de preservação; 49) “Serviço qualificado de arquivo eletrónico”: um serviço de arquivo eletrónico prestado por um prestador qualificado de serviços de confiança e que satisfaz os requisitos estabelecidos no artigo 45.o-J; 50) “Marca de confiança ‘UE’ para a carteira de identidade digital”: uma indicação verificável, simples e reconhecível, comunicada de forma clara, de que uma carteira europeia de identidade digital foi fornecida em conformidade com o presente regulamento; 51) “Autenticação forte do utente”: uma autenticação baseada em pelo menos dois fatores de autenticação pertencentes a categorias diferentes, quer de conhecimento, algo que só o utente conhece, posse, algo que só o utente possui, ou inerência, uma característica própria do utente, os quais são independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros, e que é concebida para proteger a confidencialidade dos dados de autenticação; 52) “Livro-razão eletrónico”: uma sequência de registos eletrónicos de dados que assegura a integridade desses registos e a exatidão do ordenamento cronológico desses registos; 53) “Livro-razão eletrónico qualificado”: um livro-razão eletrónico fornecido por um prestador qualificado de serviços de confiança e que satisfaz os requisitos estabelecidos no artigo 45.o-L; 54) “Dados pessoais”: qualquer informação na aceção do artigo 4.o, ponto 1), do Regulamento (UE) 2016/679; 55) “Correspondência de identidade”: um processo em que os dados de identificação pessoal ou os meios de identificação eletrónicos correspondem ou são ligados a uma conta existente pertencente à mesma pessoa; 56) “Registo de dados”: os dados eletrónicos registados com metadados conexos que apoiam o tratamento dos dados; 57) “Modo fora de linha”: no que respeita às carteiras europeias de identidade digital, a interação entre um utente e um terceiro num local físico utilizando tecnologias de proximidade, sem que seja necessário que a carteira europeia de identidade digital aceda a sistemas à distância através de redes de comunicações eletrónicas para efeitos da interação.»; |
4) | O artigo 5.o passa a ter a seguinte redação: «Artigo 5.o Pseudónimos nas transações eletrónicas Sem prejuízo das regras específicas do direito da União ou nacional que exijam que os utentes se identifiquem ou dos efeitos legais conferidos aos pseudónimos nos termos das legislações nacionais, não é proibido utilizar pseudónimos escolhidos pelo utente.»; |
5) | No capítulo II, é inserida a seguinte secção: «SECÇÃO 1 CARTEIRA EUROPEIA DE IDENTIDADE DIGITAL Artigo 5.o-A Carteiras europeias de identidade digital 1. A fim de assegurar que todas as pessoas singulares e coletivas na União dispõem de acesso além-fronteiras seguro, contínuo e de confiança a serviços públicos e privados, mantendo simultaneamente pleno controlo sobre os seus dados, cada Estado-Membro fornece pelo menos uma carteira europeia de identidade digital no prazo de 24 meses a contar da data de entrada em vigor dos atos de execução a que se referem o n.o 23 do presente artigo e o artigo 5.o-C, n.o 6. 2. As carteiras europeias de identidade digital são fornecidas de uma ou várias das seguintes formas: a) Diretamente por um Estado-Membro; b) Por mandato de um Estado-Membro; c) De forma independente de um Estado-Membro, mas reconhecida por esse Estado-Membro. 3. O código-fonte dos componentes de software de aplicação das carteiras europeias de identidade digital é objeto de licença de fonte aberta. Os Estados-Membros podem prever que, por razões devidamente justificadas, o código-fonte de componentes específicos que não sejam os instalados nos dispositivos dos utentes não seja divulgado. 4. As carteiras europeias de identidade digital permitem ao utente, de uma forma que seja de fácil utilização, transparente e rastreável pelo utilizador: a) Solicitar, obter, selecionar, combinar, armazenar, apagar, partilhar e apresentar de forma segura, sob o controlo exclusivo do utente, dados de identificação pessoal e, se for caso disso, em combinação com certificados eletrónicos de atributos, autenticar-se em linha aos utilizadores e, se for caso disso, em modo fora de linha, a fim de aceder a serviços públicos e privados, assegurando simultaneamente a possibilidade de divulgação seletiva de dados; b) Gerar pseudónimos e armazená-los de forma cifrada e localmente na carteira europeia de identidade digital; c) Autenticar de forma segura a carteira europeia de identidade digital de outra pessoa e receber e partilhar dados de identificação pessoal e certificados eletrónicos de atributos de forma segura entre as duas carteiras europeias de identidade digital; d) Aceder a um registo de todas as transações realizadas através da carteira europeia de identidade digital, recorrendo a um painel de controlo comum que permita ao utente: i) visualizar uma lista atualizada dos utilizadores com as quais o utente estabeleceu uma ligação e, se for caso disso, todos os dados trocados, ii) solicitar facilmente o apagamento de dados pessoais por parte de um utilizador, nos termos do artigo 17.o do Regulamento (UE) 2016/679, iii) Denunciar facilmente um utilizador à autoridade nacional responsável pela proteção em caso de receção de um pedido de dados alegadamente ilegal ou suspeito; e) Assinar com assinaturas eletrónicas qualificadas ou apor selos com selos eletrónicos qualificados; f) Descarregar, na medida em que tal seja tecnicamente viável, os dados do utente, o certificado eletrónico de atributos e as configurações; g) Exercer os direitos do utente à portabilidade dos dados. 5. Em especial, as carteiras europeias de identidade digital: a) Apoiam protocolos e interfaces comuns: i) para a emissão de dados de identificação pessoal, certificados eletrónicos qualificados e não qualificados de atributos ou certificados qualificados e não qualificados para a carteira europeia de identidade digital; ii) para os utilizadores pedirem e validarem dados de identificação pessoal e certificados eletrónicos de atributos; iii) para a partilhar e apresentar aos utilizadores dados de identificação pessoal ou de certificados eletrónicos de atributos ou dados conexos divulgados seletivamente em linha e, se for caso disso, em modo fora de linha; iv) para o utente poder interagir com a carteira europeia de identidade digital e exibir uma “marca de confiança ‘UE’ para a carteira de identidade digital”; v) para a adesão segura do utente, utilizando um meio de identificação eletrónica, em conformidade com o artigo 5.o-A, n.o 24, vi) para a interação entre as carteiras europeias de identidade digital de duas pessoas para efeitos de receção, validação e partilha de dados de identificação pessoal e certificados eletrónicos de atributos de forma segura; vii) para autenticar e identificar os utilizadores através da aplicação de mecanismos de autenticação em conformidade com o artigo 5.o-B; viii) para os utilizadores verificarem a autenticidade e a validade das carteiras europeias de identidade digital; ix) para solicitar a um utilizador o apagamento de dados pessoais, nos termos do artigo 17.o do Regulamento (UE) 2016/679; x) para denunciar um utilizador à autoridade nacional responsável pela proteção de dados, em caso de receção de um pedido de dados alegadamente ilegal ou suspeito; xi) para a criação de assinaturas eletrónicas qualificadas ou de selos eletrónicos qualificados com dispositivos qualificados de criação de assinaturas eletrónicas ou de selos eletrónicos; b) Não facultam quaisquer informações aos prestadores de serviços de confiança de certificados eletrónicos de atributos sobre a utilização desses certificados eletrónicos; c) Asseguram que a identidade dos utilizadores possa ser autenticada e identificada através da aplicação de mecanismos de autenticação em conformidade com o artigo 5.o-B; d) Cumprem os requisitos estabelecidos no artigo 8.o no que diz respeito ao nível de garantia elevado, em especial à sua aplicação aos requisitos de prova e verificação da identidade, assim como à gestão e autenticação de meios de identificação eletrónica; e) No caso do certificado eletrónico de atributos com políticas de divulgação incorporadas, aplicam o mecanismo adequado para informar o utente de que o utilizador ou o utente da carteira europeia de identidade digital que requer esse certificado eletrónico de atributos está autorizado a aceder ao mesmo; f) Asseguram que os dados de identificação pessoal, disponíveis a partir do sistema de identificação eletrónica ao abrigo do qual é fornecida a carteira europeia de identidade digital, representam de modo único a pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa singular ou coletiva, e estão associados a essa carteira europeia de identidade digital; g) Oferecem a todas as pessoas singulares a possibilidade de assinar através de assinaturas eletrónicas qualificadas por defeito e gratuitamente. Não obstante o disposto na alínea g) do primeiro parágrafo, os Estados-Membros podem prever medidas proporcionadas para assegurar que a utilização gratuita de assinaturas eletrónicas qualificadas por pessoas singulares se limite a fins não profissionais. 6. Os Estados-Membros informam os utentes, sem demora, de qualquer violação da segurança que possa ter comprometido total ou parcialmente a respetiva carteira europeia de identidade digital ou o seu conteúdo, em particular, se a respetiva carteira europeia de identidade digital tiver sido suspensa ou revogada, nos termos do artigo 5.o-E. 7. Sem prejuízo do artigo 5.o-F, os Estados-Membros podem prever, em conformidade com o direito nacional, funcionalidades adicionais das carteiras europeias de identidade digital, incluindo a interoperabilidade com os meios nacionais de identificação eletrónica existentes. Essas funcionalidades adicionais devem cumprir o disposto no presente artigo. 8. Os Estados-Membros preveem mecanismos de validação gratuitos para: a) Garantir que a autenticidade e validade das carteiras europeias de identidade digital podem ser verificadas; b) Permitir aos utentes verificar a autenticidade e a validade da identidade dos utilizadores registados em conformidade com o artigo 5.o-B. 9. Os Estados-Membros velam por que a validade da carteira europeia de identidade digital possa ser revogada nas seguintes circunstâncias: a) Mediante pedido explícito do utente; b) Caso a segurança da carteira europeia de identidade digital tenha sido comprometida; c) Em caso de morte do utente ou de cessação da atividade da pessoa coletiva. 10. Os fornecedores de carteiras europeias de identidade digital asseguram que os utentes possam facilmente solicitar apoio técnico e comunicar problemas técnicos ou quaisquer outros incidentes que tenham um impacto negativo na utilização da carteira europeia de identidade digital. 11. As carteiras europeias de identidade digital são fornecidas ao abrigo de um sistema de identificação eletrónica com nível de garantia elevado. 12. As carteiras europeias de identidade digital garantem a segurança desde a conceção. 13. A emissão, uso e revogação das carteiras europeias de identidade digital são gratuitos para todas as pessoas singulares. 14. Os utentes controlam plenamente a utilização da sua carteira europeia de identidade digital e dos dados contidos na mesma. O fornecedor da carteira europeia de identidade digital não recolhe informações sobre a utilização da carteira europeia de identidade digital que não sejam necessárias para a prestação dos serviços da carteira europeia de identidade digital, nem combina os dados de identificação pessoal ou quaisquer outros dados pessoais armazenados ou relacionados com a utilização da carteira europeia de identidade digital com dados pessoais de outros serviços por si oferecidos ou de serviços de terceiros que não sejam necessários para a prestação dos serviços da carteira europeia de identidade digital, salvo pedido expresso do utilizador. Os dados pessoais relacionados com o fornecimento da carteira europeia de identidade digital são conservados logicamente separados de quaisquer outros dados detidos pelo fornecedor da carteira europeia de identidade digital. Se a carteira europeia de identidade digital for fornecida por partes privadas nos termos do n.o 2, alíneas b) e c), do presente artigo, o disposto no artigo 45.o-H, n.o 3, aplica-se mutatis mutandis. 15. A utilização das carteiras europeias de identidade digital é voluntária. O acesso a serviços públicos e privados, o acesso ao mercado de trabalho e a liberdade de empresa não podem, de forma alguma, ser restringidos nem desfavorecer as pessoas singulares e coletivas que não utilizam a carteira europeia de identidade digital. Continua a ser possível aceder a serviços públicos e privados através de outros meios de identificação e autenticação existentes. 16. O enquadramento técnico da carteira europeia de identidade digital: a) Não permite que os fornecedores de certificados eletrónicos de atributos ou qualquer outra parte, após a emissão do certificado de atributos, obtenham dados que permitam que as transações ou o comportamento dos utentes sejam seguidos, ligados ou correlacionados, ou que o conhecimento das transações ou o comportamento dos utentes seja obtido de outra forma, salvo autorização explícita do próprio utente; b) Permite técnicas de preservação da privacidade que garantam a ausência de associação, sempre que o certificado de atributos não exija a identificação do utente. 17. Qualquer tratamento de dados pessoais efetuado pelos Estados-Membros ou, em seu nome, por organismos ou partes responsáveis pelo fornecimento das carteiras europeias de identidade digital como meio de identificação eletrónica é efetuado em conformidade com medidas adequadas e eficazes de proteção de dados. A conformidade de tais atividades de tratamento com o Regulamento (UE) 2016/679 deve ser demonstrada. Os Estados-Membros podem introduzir disposições nacionais para especificar melhor a aplicação dessas medidas. 18. Os Estados-Membros notificam à Comissão, sem demora injustificada, informações sobre: a) O organismo responsável pela elaboração e manutenção da lista dos utilizadores registados que recorrem às carteiras europeias de identidade digital, em conformidade com o artigo 5.o-B, n.o 5, e a localização dessa lista; b) Os organismos responsáveis pelo fornecimento das carteiras europeias de identidade digital, em conformidade com o artigo 5.o-A, n.o 1; c) Os organismos responsáveis por assegurar que os dados de identificação pessoal estão associados à carteira europeia de identidade digital, em conformidade com o artigo 5.o-A, n.o 5, alínea f); d) O mecanismo que permite a validação dos dados de identificação pessoal a que se refere o artigo 5.o-A, n.o 5, alínea f), e sobre a identidade dos utilizadores; e) O mecanismo para validar a autenticidade e a validade das carteiras europeias de identidade digital. A Comissão disponibiliza ao público as informações notificadas nos termos do primeiro parágrafo, através de um canal seguro, num formato assinado ou selado por via eletrónica, adequado ao tratamento automático. 19. Sem prejuízo do disposto no n.o 22 do presente artigo, o artigo 11.o aplica-se mutatis mutandis à carteira europeia de identidade digital. 20. O artigo 24.o, n.o 2, alíneas b), e, d) a h), aplica-se mutatis mutandis aos fornecedores de carteiras europeias de identidade digital. 21. As carteiras europeias de identidade digital são disponibilizadas para utilização por pessoas com deficiência, em condições iguais às dos restantes utentes, em conformidade com a Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho (*2). 22. Para efeitos do fornecimento de carteiras europeias de identidade digital, as carteiras europeias de identidade digital e os sistemas de identificação eletrónica ao abrigo dos quais são fornecidas não estão sujeitos aos requisitos estabelecidos nos artigos 7.o, 9.o, 10.o, 12.o e 12.o-A. 23. Até 21 de novembro de 2024, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos para os requisitos a que se referem os n.os 4, 5, 8 e 18 do presente artigo sobre a implementação da carteira europeia de identidade digital. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. 24. A Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos a fim de facilitar a adesão à carteira europeia de identidade digital através de meios de identificação eletrónica conformes com o nível de garantia elevado ou através de meios de identificação eletrónica conformes com o nível de garantia substancial, em conjugação com procedimentos de integração à distância adicionais que, em conjunto, cumpram os requisitos de nível de garantia elevado. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 5.o-B Utilizadores de carteiras europeias de identidade digital 1. Sempre que pretenda recorrer a carteiras europeias de identidade digital para a prestação de serviços públicos ou privados por meio da interação digital, o utilizador regista-se no Estado-Membro em que está estabelecido. 2. O processo de registo é eficaz em termos de custos e proporcional ao risco. O utilizador presta, pelo menos: a) As informações necessárias para autenticar as carteiras europeias de identidade digital, que incluem, no mínimo: i) o Estado-Membro em que o utilizador está estabelecido, e ii) o nome do utilizador e, se for caso disso, o seu número de registo, tal como consta num registo oficial, juntamente com os dados de identificação desse registo oficial; b) Os dados de contacto do utilizador; c) A utilização prevista das carteiras europeias de identidade digital, incluindo uma indicação dos dados a solicitar aos utentes pelo utilizador. 3. Os utilizadores não podem solicitar aos utentes que forneçam quaisquer dados para além dos indicados nos termos do n.o 2, alínea c). 4. Os n.os 1 e 2 não prejudicam as disposições do direito da União ou nacional aplicável à prestação de serviços específicos. 5. Os Estados-Membros disponibilizam ao público em linha as informações a que se refere o n.o 2, num formato assinado ou selado por via eletrónica, adequado ao tratamento automático. 6. Os utilizadores registados nos termos do presente artigo informam sem demora os Estados-Membros de qualquer alteração das informações indicadas no registo nos termos do n.o 2. 7. Os Estados-Membros preveem um mecanismo comum que permita a identificação e a autenticação dos utilizadores, tal como referido no artigo 5.o-A, n.o 5, alínea c). 8. Sempre que os utilizadores pretendam recorrer a carteiras europeias de identidade digital, identificam-se junto do utente. 9. Os utilizadores são responsáveis por executar o procedimento de autenticação e validação de dados de identificação pessoal e de certificados eletrónicos de atributos solicitados a partir de carteiras europeias de identidade digital. Os utilizadores não podem recusar a utilização de pseudónimos, se a identificação do utente não for exigida pelo direito da União ou nacional. 10. Os intermediários que atuam em nome dos utilizadores são considerados utilizadores e não podem armazenar dados sobre o conteúdo da transação. 11. Até 21 de novembro de 2024, a Comissão estabelece especificações técnicas e procedimentos para os requisitos a que se referem os n.os 2, 5, e 6 a 9 do presente artigo, por meio de atos de execução relativos à implementação das carteiras europeias de identidade digital, como referido no artigo 5.o-A, n.o 23. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 5.o-C Certificação de carteiras europeias de identidade digital 1. A conformidade das carteiras europeias de identidade digital e do sistema de identificação eletrónica ao abrigo do qual são fornecidas com os requisitos estabelecidos no artigo 5.o-A, n.os 4, 5 e 8, com o requisito de separação lógica estabelecido no artigo 5.o-A, n.o 14, e, se for caso disso, com as normas e especificações técnicas a que se refere o artigo 5.o-A, n.o 24, é certificada por organismos de avaliação da conformidade designados pelos Estados-Membros. 2. A certificação da conformidade das carteiras europeias de identidade digital com os requisitos a que se refere o n.o 1 do presente artigo, ou partes destes, que sejam pertinentes em matéria de cibersegurança é efetuada em conformidade com os sistemas europeus de certificação de cibersegurança adotados nos termos do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho (*3) e referidos nos atos de execução a que se refere o n.o 6 do presente artigo. 3. Para os requisitos a que se refere o n.o 1 do presente artigo não relacionados com a cibersegurança e, no que respeita aos requisitos a que se refere o n.o 1 do presente artigo relacionados com a cibersegurança, na medida em que os sistemas de certificação da cibersegurança a que se refere o n.o 2 do presente artigo não abrangerem, ou abrangerem apenas parcialmente, esses requisitos de cibersegurança, também para esses requisitos, os Estados-Membros estabelecem sistemas nacionais de certificação em conformidade com os requisitos estabelecidos nos atos de execução a que se refere o n.o 6 do presente artigo. Os Estados-Membros transmitem os seus projetos de sistemas nacionais de certificação ao Grupo de Cooperação Europeia para a Identidade Digital criado nos termos do artigo 46.o-E, n.o 1 (“grupo de cooperação”). O grupo de cooperação pode emitir pareceres e recomendações. 4. A certificação nos termos do n.o 1 é válida por um período máximo de cinco anos, desde que seja realizada uma avaliação da vulnerabilidade de dois em dois anos. Quando uma vulnerabilidade for identificada e não corrigida em tempo útil após tal identificação, a certificação será cancelada. 5. O cumprimento dos requisitos estabelecidos no artigo 5.o-A do presente regulamento relativos às operações de tratamento de dados pessoais pode ser certificado nos termos do Regulamento (UE) 2016/679. 6. Até 21 de novembro de 2024, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos para a certificação das carteiras europeias de identidade digital a que se referem os n.os 1, 2 e 3 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. 7. Os Estados-Membros comunicam à Comissão o nome e o endereço dos organismos de avaliação da conformidade a que se refere o n.o 1. A Comissão disponibiliza a informação a todos os Estados-Membros. 8. A Comissão fica habilitada a adotar atos delegados em conformidade com o artigo 47.o que estabelecem os critérios específicos a cumprir pelos organismos de avaliação da conformidade referidos no n.o 1 do presente artigo. Artigo 5.o-D Publicação de uma lista de carteiras europeias de identidade digital certificadas 1. Os Estados-Membros informam a Comissão e o grupo de cooperação criado nos termos do artigo 46.o-E, n.o 1, sem demora indevida sobre as carteiras europeias de identidade digital que foram fornecidas nos termos do artigo 5.o-A e certificadas pelos organismos de avaliação da conformidade a que se refere o artigo 5.o-C, n.o 1. Informam a Comissão e o grupo de cooperação, criado nos termos do artigo 46.o-E, n.o 1, sem demora indevida se a certificação for cancelada e indicam os motivos do cancelamento. 2. Sem prejuízo do artigo 5.o-A, n.o 18, as informações prestadas pelos Estados-Membros a que se refere o n.o 1 do presente artigo incluem, pelo menos: a) O certificado e o relatório de avaliação da certificação da carteira europeia de identidade digital certificada; b) A descrição do sistema de identificação eletrónica ao abrigo do qual é fornecida a carteira europeia de identidade digital; c) O regime de supervisão aplicável e as informações sobre o regime de responsabilidade no que diz respeito à parte que fornece a carteira europeia de identidade digital; d) Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica; e) As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica, da autenticação ou das partes afetadas em causa. 3. Com base nas informações recebidas nos termos do n.o 1, a Comissão elabora, publica no Jornal Oficial da União Europeia e mantém, num formato legível por máquina, uma lista de carteiras europeias de identidade digital certificadas. 4. Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 3 uma carteira europeia de identidade digital, bem como o sistema de identificação eletrónica ao abrigo do qual é fornecida. 5. Em caso de alteração das informações prestadas nos termos do n.o 1, o Estado-Membro fornece à Comissão informações atualizadas. 6. A Comissão mantém atualizada a lista a que se refere o n.o 3, publicando no Jornal Oficial da União Europeia as correspondentes alterações correspondentes da lista no prazo de um mês a contar da receção de um pedido nos termos do n.o 4 ou de informações atualizadas nos termos do n.o 5. 7. Até 21 de novembro de 2024, a Comissão estabelece os formatos e procedimentos aplicáveis para efeitos dos n.os 1, 4 e 5 do presente artigo mediante atos de execução relativos à implementação das carteiras europeias de identidade digital conforme referido no artigo 5.o-A, n.o 23. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 5.o-E Violação da segurança das carteiras europeias de identidade digital 1. Se as carteiras europeias de identidade digital fornecidas nos termos do artigo 5.o-A, os mecanismos de validação a que se refere o artigo 5.o-A, n.o 8, ou o sistema de identificação eletrónica ao abrigo do qual são fornecidas as carteiras europeias de identidade digital, forem violados ou ficarem parcialmente comprometidos de uma forma que afete a sua fiabilidade ou a fiabilidade das demais carteiras europeias de identidade digital, o Estado-Membro que forneceu as carteiras europeias de identidade digital suspende, sem demora indevida, o fornecimento e a utilização das carteiras europeias de identidade digital. Sempre que a gravidade da violação ou comprometimento de segurança a que se refere o primeiro parágrafo o justifique, o Estado-Membro retira as carteiras europeias de identidade digital sem demora indevida. O Estado-Membro informa do facto os utentes afetados, os pontos de contacto único designados nos termos do artigo 46.o-C, n.o 1, os utilizadores e a Comissão. 2. Se a violação ou o comprometimento da segurança a que se refere o n.o 1, primeiro parágrafo, do presente artigo não forem corrigidos no prazo de três meses a contar da suspensão, o Estado-Membro que forneceu as carteiras europeias de identidade digital retira-as e revoga a sua validade. O Estado-Membro informa do facto os utentes afetados, os pontos de contacto único designados nos termos do artigo 46.o-C, n.o 1, os utilizadores e a Comissão. 3. Caso a violação ou o comprometimento da segurança a que se refere o n.o 1, primeiro parágrafo, do presente artigo seja corrigido, o Estado-Membro fornecedor restabelece o fornecimento e a utilização das carteiras europeias de identidade digital e informa desse facto, sem demora indevida, os utentes e os utilizadores afetados, os pontos de contacto único designados nos termos do artigo 46.o-C, n.o 1, e a Comissão. 4. A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as correspondentes alterações da lista a que se refere o artigo 5.o-D. 5. Até 21 de novembro de 2024, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos para as medidas a que se referem os n.os 1, 2 e 3 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 5.o-F Recurso transfronteiriço às carteiras europeias de identidade digital 1. Sempre que os Estados-Membros exigirem a identificação eletrónica e uma autenticação para aceder a um serviço em linha prestado por um organismo público, aceitam igualmente as carteiras europeias de identidade digital fornecidas em conformidade com o presente regulamento. 2. Sempre que os utilizadores privados que prestam serviços, com exceção das microempresas e das pequenas empresas, na aceção do artigo 2.o do anexo da Recomendação 2003/361/CE da Comissão (*4), forem obrigados pelo direito nacional ou da União a utilizar a autenticação forte do utente para efeitos de identificação em linha, ou sempre que a autenticação forte do utente para efeitos de identificação em linha for exigida por obrigação contratual — nomeadamente nos domínios dos transportes, da energia, dos serviços bancários, dos serviços financeiros, da segurança social, da saúde, da água potável, dos serviços postais, das infraestruturas digitais, da educação ou das telecomunicações — esses utilizadores privados aceitam também, o mais tardar 36 meses a contar da data de entrada em vigor dos atos de execução a que se referem o artigo 5.o-A, n.o 23, e o artigo 5.o-C, n.o 6, e exclusivamente a pedido voluntário do utente, as carteiras europeias de identidade digital fornecidas em conformidade com o presente regulamento. 3. Sempre que os prestadores das plataformas em linha de muito grande dimensão a que se refere o artigo 33.o do Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho (*5), exigirem que a autenticação do utilizador para aceder a serviços em linha, aceitam e facilitam também a utilização de carteiras europeias de identidade digital fornecidas de acordo com o presente regulamento para a autenticação do utente, exclusivamente a pedido voluntário do utente e respeitando os dados mínimos necessários para o serviço em linha específico para o qual é exigida a autenticação. 4. Em cooperação com os Estados-Membros, a Comissão facilita a elaboração de códigos de conduta em estreita colaboração com todas as partes interessadas pertinentes, incluindo a sociedade civil, a fim de contribuir para a ampla disponibilidade e usabilidade de carteiras europeias de identidade digital abrangidas pelo âmbito de aplicação do presente regulamento, e incentiva os prestadores de serviços a concluírem a elaboração de códigos de conduta. 5. No prazo de 24 meses após a implantação das carteiras europeias de identidade digital, a Comissão avalia a procura, a disponibilidade e a usabilidade das carteiras europeias de identidade digital, tendo em conta critérios como a aceitação pelos utentes, a presença transfronteiriça de prestadores de serviços, o desenvolvimento tecnológico, a evolução dos padrões de utilização e a procura dos utentes. (*2) Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos requisitos de acessibilidade dos produtos e serviços (JO L 151 de 7.6.2019, p. 70).” (*3) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).” (*4) Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).” (*5) Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único para os serviços digitais e que altera a Diretiva 2000/31/CE (Regulamento dos Serviços Digitais) (JO L 277 de 27.10.2022, p. 1).»;” |
6) | Antes do artigo 6.o, é inserido o seguinte título: «SECÇÃO 2 SISTEMAS DE IDENTIFICAÇÃO ELETRÓNICA»; |
7) | No artigo 7.o, a alínea g) passa a ter a seguinte redação: «g) No mínimo seis meses antes da notificação prevista no artigo 9.o, n.o 1, o Estado-Membro notificante fornecer aos outros Estados-Membros para efeitos do artigo 12.o, n.o 5, uma descrição do sistema, de acordo com as modalidades processuais definidas pelos atos de execução adotados nos termos do artigo 12.o, n.o 6;»; |
8) | No artigo 8.o, n.o 3, o primeiro parágrafo passa a ter a seguinte redação: «3. Até 18 de setembro de 2015, tendo em conta as normas internacionais aplicáveis e sob reserva do n.o 2, a Comissão define, por meio de atos de execução, as especificações técnicas mínimas, as normas e os procedimentos que devem servir de referência para a especificação dos níveis de garantia reduzido, substancial e elevado para meios de identificação eletrónica.»; |
9) | No artigo 9.o, os n.os 2 e 3 passam a ter a seguinte redação: «2. A Comissão publica, sem demora injustificada, no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1, juntamente com as informações básicas a eles respeitantes. 3. A Comissão publica no Jornal Oficial da União Europeia as alterações da lista referida no n.o 2 no prazo de um mês a contar da data de receção dessa notificação.»; |
10) | No artigo 10.o, o título passa a ter a seguinte redação: «Violação da segurança dos sistemas de identificação eletrónica»; |
11) | É inserido o seguinte artigo: «Artigo 11.o-A Determinação de correspondência de identidade a nível transfronteiriço 1. Quando atuarem como utilizadores para serviços transfronteiriços, os Estados-Membros asseguram a determinação inequívoca da correspondência de identidade das pessoas singulares que utilizam meios de identificação eletrónica notificados ou carteiras europeias de identidade digital. 2. Os Estados-Membros preveem medidas técnicas e organizativas para assegurar um elevado nível de proteção dos dados pessoais utilizados para a determinação da correspondência de identidade e para impedir a perfilagem dos utilizadores. 3. Até 21 de novembro de 2024, a Comissão estabelece uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos para os requisitos a que se refere o n.o 1 do presente artigo, por meio de atos de execução. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
12) | O artigo 12.o é alterado do seguinte modo: a) O título passa a ter a seguinte redação: «Interoperabilidade»; b) O n.o 3 é alterado do seguinte modo: i) a alínea c) passa a ter a seguinte redação: «c) Facilitar o respeito da privacidade e da segurança, desde a conceção;», ii) é suprimida a alínea d); c) No n.o 4, a alínea d) passa a ter a seguinte redação: «d) A referência a um conjunto mínimo de dados de identificação necessários para representar de modo único uma pessoa singular ou coletiva, ou uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva, disponível a partir de sistemas de identificação eletrónica;»; d) Os n.os 5 e 6 passam a ter a seguinte redação: «5. Os Estados-Membros realizam avaliações pelos pares dos sistemas de identificação eletrónica abrangidos pelo âmbito de aplicação do presente regulamento e que devem ser notificados nos termos do artigo 9.o, n.o 1, alínea a). 6. Até 18 de março de 2025, a Comissão estabelece, por meio de atos de execução, as necessárias disposições processuais para as avaliações pelos pares a que se refere o n.o 5 do presente artigo, tendo em vista promover um nível elevado de confiança e segurança, adequado ao grau de risco. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; e) É suprimido o n.o 7; f) O n.o 8 passa a ter a seguinte redação: «8. Até 18 de setembro de 2025, para efeitos da definição das condições uniformes para o cumprimento do requisito referido no n.o 1 do presente artigo, a Comissão, sob reserva dos critérios estabelecidos no n.o 3 do presente artigo e tendo em conta os resultados da cooperação entre os Estados-Membros, adota atos de execução referentes ao quadro de interoperabilidade tal como é definido no n.o 4 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
13) | No Capítulo II são inseridos os seguintes artigos: «Artigo 12.o-A Certificação de sistemas de identificação eletrónica 1. A conformidade dos sistemas de identificação eletrónica que devem ser notificados, com os requisitos de cibersegurança estabelecidos no presente regulamento, incluindo a conformidade com os requisitos pertinentes em matéria de cibersegurança estabelecidos no artigo 8.o, n.o 2, no que diz respeito aos níveis de garantia dos sistemas de identificação eletrónica, é certificada pelos organismos de avaliação da conformidade designados pelos Estados-Membros. 2. A certificação nos termos do n.o 1 do presente artigo é efetuada ao abrigo de um sistema de certificação da cibersegurança pertinente nos termos do Regulamento (UE) 2019/881 ou de partes do mesmo, na medida em que o certificado de cibersegurança ou partes do mesmo abranjam esses requisitos de cibersegurança. 3. A certificação nos termos do n.o 1 é válida por um período máximo de cinco anos, desde que seja realizada, de dois em dois anos, uma avaliação da vulnerabilidade. Sempre que seja detetada uma vulnerabilidade e a mesma não seja corrigida no prazo de três meses, a certificação é cancelada. 4. Não obstante o disposto no n.o 2, os Estados-Membros podem, em conformidade com o mesmo parágrafo, solicitar ao Estado-Membro notificante informações adicionais sobre os sistemas de identificação eletrónica, ou parte dos mesmos, certificados. 5. A avaliação pelos pares dos sistemas de identificação eletrónica a que se refere o artigo 12.o, n.o 5, não se aplica aos sistemas de identificação eletrónica ou partes desses sistemas que tenham sido certificados em conformidade com o n.o 1 do presente artigo. Os Estados-Membros podem utilizar um certificado ou uma declaração de conformidade emitidos de acordo com um sistema de certificação pertinente ou parte desses sistemas, com os requisitos não relacionados com a cibersegurança estabelecidos no artigo 8.o, n.o 2, relativamente ao nível de garantia dos sistemas de identificação eletrónica. 6. Os Estados-Membros comunicam à Comissão o nome e o endereço dos organismos de avaliação da conformidade a que se refere o n.o 1. A Comissão disponibiliza essa informação a todos os Estados-Membros. Artigo 12.o-B Acesso a funcionalidades de hardware e de software Caso os fornecedores de carteiras europeias de identidade digital e os emitentes de meios de identificação eletrónica notificados que atuem a título comercial ou profissional e utilizem serviços essenciais de plataforma na aceção do artigo 2.o, ponto 2, do Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho (*6) para efeitos, ou no decurso da prestação de serviços de carteira europeia de identidade digital e de meios de identificação eletrónica aos utentes finais, sejam utilizadores profissionais na aceção do artigo 2.o, ponto 21, do mesmo regulamento, os controladores de acesso permitem-lhes, nomeadamente, a interoperabilidade efetiva e, para efeitos de interoperabilidade, o acesso ao mesmo sistema operativo ou funcionalidades de hardware ou de software. Essa interoperabilidade efetiva e o acesso são permitidos a título gratuito e independentemente de as funcionalidades de hardware ou de software fazerem parte do sistema operativo, estarem disponíveis ou serem utilizados por esse controlador de acesso aquando da prestação desses serviços, na aceção do artigo 6.o, n.o 7, do Regulamento (UE) 2022/1925. O presente artigo não prejudica o disposto no artigo 5.o-A, n.o 14, do presente regulamento. (*6) Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho, de 14 de setembro de 2022, relativo à disputabilidade e equidade dos mercados no setor digital e que altera as Diretivas (UE) 2019/1937 e (UE) 2020/1828 (Regulamento dos Mercados Digitais) (JO L 265 de 12.10.2022, p. 1).»;” |
14) | No artigo 13.o, o n.o 1 passa a ter a seguinte redação: «1. Não obstante o disposto no n.o 2 do presente artigo e sem prejuízo do disposto no Regulamento (UE) 2016/679, os prestadores de serviços de confiança respondem pelos danos causados com dolo ou negligência a qualquer pessoa singular ou coletiva por incumprimento das obrigações previstas no presente regulamento. Qualquer pessoa singular ou coletiva que tenha sofrido danos patrimoniais ou não patrimoniais em resultado de uma infração do presente regulamento por um prestador de serviços de confiança tem o direito de pedir uma indemnização nos termos do direito nacional ou da União. O ónus da prova do dolo ou negligência de um prestador não qualificado de serviços de confiança recai sobre a pessoa singular ou coletiva que intente a ação de indemnização pelos danos referidos no n.o 1. Presume-se a existência de dolo ou negligência por parte de um prestador qualificado de serviços de confiança exceto se este provar que os danos referidos no primeiro parágrafo não foram causados com dolo ou negligência por parte desse prestador qualificado de serviços de confiança.»; |
15) | Os artigos 14.o, 15.o e 16.o passam a ter a seguinte redação: «Artigo 14.o Aspetos internacionais 1. Os serviços de confiança prestados por prestadores de serviços de confiança estabelecidos num país terceiro ou por uma organização internacional são reconhecidos como juridicamente equivalentes aos serviços de confiança qualificados prestados por prestadores qualificados de serviços de confiança estabelecidos na União, se os serviços de confiança originários do país terceiro ou da organização internacional forem reconhecidos por meio de atos de execução ou de um acordo celebrado entre a União e o país terceiro em causa ou uma organização internacional nos termos do artigo 218.o do TFUE. Os atos de execução referidos no primeiro parágrafo são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. 2. Os atos de execução e o acordo a que se refere o n.o 1 asseguram que os requisitos aplicáveis aos prestadores qualificados de serviços de confiança estabelecidos na União e os serviços de confiança qualificados por eles prestados são cumpridos pelos prestadores de serviços de confiança no país terceiro em causa ou pelas organizações internacionais e pelos serviços de confiança que prestarem. Os países terceiros e as organizações internacionais, em especial, estabelecem, mantêm e publicam uma lista de confiança de prestadores de serviços de confiança reconhecidos. 3. Os acordos referidos no n.o 1 asseguram que os serviços de confiança qualificados prestados pelos prestadores qualificados de serviços de confiança estabelecidos na União são reconhecidos como juridicamente equivalentes aos serviços de confiança prestados por prestadores de serviços de confiança nos países terceiros ou pelas organizações internacionais com os quais tenham sido celebrados. Artigo 15.o Acessibilidade para as pessoas com deficiência e necessidades especiais Os meios de identificação eletrónica, os serviços de confiança e os produtos destinados ao utente final que são utilizados na prestação desses serviços são disponibilizados em linguagem clara e inteligível, em conformidade com a Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência e com os requisitos de acessibilidade da Diretiva (UE) 2019/882, beneficiando assim também as pessoas com limitações funcionais, como os idosos, e as pessoas com acesso limitado às tecnologias digitais. Artigo 16.o Sanções 1. Sem prejuízo do disposto no artigo 31.o da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (*7), os Estados-Membros estabelecem o regime de sanções aplicável às infrações ao presente regulamento. Essas sanções devem ser efetivas, proporcionadas e dissuasivas. 2. Os Estados-Membros asseguram que as infrações ao presente regulamento por prestadores qualificados e não qualificados de serviços de confiança sejam passíveis de coimas de um montante máximo de, pelo menos: a) 5 000 000 EUR se o prestador de serviços de confiança for uma pessoa singular; ou b) Se o prestador de serviços de confiança for uma pessoa coletiva, 5 000 000 EUR ou 1 % do volume de negócios anual total a nível mundial da empresa a que o prestador de serviços de confiança pertencia no exercício anterior ao ano em que ocorreu a infração, consoante o que for mais elevado. 3. Dependendo do ordenamento jurídico dos Estados-Membros, as regras relativas às coimas podem ser aplicadas de uma forma segundo a qual a coima é iniciada pela entidade supervisora competente e imposta pelos tribunais nacionais competentes. A aplicação dessas regras nesses Estados-Membros assegura que essas vias de recurso são eficazes e têm um efeito equivalente às coimas aplicadas diretamente pelas autoridades supervisoras. (*7) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972, e que revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).»;” |
16) | No capítulo III, secção 2, o título passa a ter a seguinte redação: «Serviços de confiança não qualificados»: |
17) | São suprimidos os artigos 17.o e 18.o; |
18) | No capítulo III, secção 2, é inserido o seguinte artigo: «Artigo 19.o-A Requisitos aplicáveis aos prestadores não qualificados de serviços de confiança 1. Os prestadores não qualificados de serviços de confiança que prestam serviços de confiança não qualificados: a) Dispõem de políticas adequadas e tomam as medidas correspondentes para gerir riscos jurídicos, comerciais, operacionais e outros riscos diretos ou indiretos relacionados com a prestação de serviços de confiança não qualificados, as quais devem, não obstante o disposto no artigo 21.o da Diretiva (UE) 2022/2555, incluir, pelo menos, as relacionadas com: i) os procedimentos de registo e adesão a um serviço de confiança, ii) os controlos processuais ou administrativos necessários para prestar serviços de confiança, iii) a gestão e implementação de serviços de confiança; b) Notificam a entidade supervisora, as pessoas afetadas identificáveis, o público, se for de interesse público, e, se for caso disso, outras autoridades competentes, de quaisquer violações da segurança ou perturbações na prestação do serviço ou na aplicação das medidas referidas na alínea a), subalínea i), ii) ou iii), que tenham um impacto significativo no serviço de confiança prestado ou nos dados pessoais nele conservados, sem demora indevida e, em qualquer caso, o mais tardar 24 horas após terem tomado conhecimento de quaisquer violações da segurança ou perturbações. 2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para o n.o 1, alínea a), do presente artigo. Sempre que essas normas, especificações e procedimentos forem cumpridos, beneficiam da presunção de conformidade com os requisitos estabelecidos neste artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
19) | O artigo 20.o é alterado do seguinte modo: a) O n.o 1 passa a ter a seguinte redação: «1. Os prestadores qualificados de serviços de confiança são auditados, pelo menos de 24 em 24 meses, a expensas suas, por um organismo de avaliação da conformidade. A auditoria confirma que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança qualificados que prestam cumprem os requisitos estabelecidos pelo presente regulamento e pelo artigo 21.o da Diretiva (UE) 2022/2555. Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora no prazo de três dias úteis após a sua receção.»; b) São inseridos os seguintes números: «1-A. Os prestadores qualificados de serviços de confiança informam a entidade supervisora um mês antes das auditorias previstas e permitem à entidade supervisora participar na qualidade de observador, mediante pedido. 1-B. Os Estados-Membros transmitem à Comissão, sem demora indevida, os nomes, endereços e dados relativos à acreditação dos organismos de avaliação da conformidade a que se refere o n.o 1, bem como quaisquer alterações subsequentes dos mesmos. A Comissão põe essa informação à disposição dos Estados-Membros.»; c) Os n.os 2, 3 e 4 passam a ter a seguinte redação: «2. Sem prejuízo do disposto no n.o 1, a entidade supervisora pode, em qualquer altura, auditar ou pedir a um organismo de avaliação da conformidade que efetue uma avaliação da conformidade dos prestadores qualificados de serviços de confiança, a expensas desses prestadores qualificados de serviços de confiança, para confirmar que tanto os próprios prestadores, como os serviços de confiança qualificados por eles prestados cumprem as condições estabelecidas no presente regulamento. Em caso de suspeita de violação das regras de proteção de dados pessoais, a entidade supervisora informa, sem demora indevida, as autoridades de controlo competentes criadas nos termos do artigo 51.o do Regulamento (UE) 2016/679. 3. Se o prestador qualificado de serviços de confiança não cumprir algum dos requisitos estabelecidos pelo presente regulamento, a entidade supervisora exige-lhe que corrija a situação num prazo determinado, se aplicável. Se o prestador não corrigir a situação, se aplicável, no prazo fixado pela entidade supervisora, esta última, se tal se justificar, nomeadamente, pela extensão, pela duração e pelas consequências do incumprimento, retira o estatuto de qualificado ao prestador ou ao serviço afetado por ele prestado. 3-A. Se as autoridades competentes designadas ou criadas nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555, informarem a entidade supervisora de que o prestador qualificado de serviços de confiança não cumpre nenhum dos requisitos estabelecidos no artigo 21.o dessa diretiva, a entidade supervisora, se tal se justificar, nomeadamente, pela extensão, pela duração e pelas consequências do incumprimento, retira o estatuto de qualificado ao prestador ou ao serviço em causa por ele prestado. 3-B. Se as autoridades de controlo criadas nos termos do artigo 51.o do Regulamento (UE) 2016/679, informarem a entidade supervisora de que o prestador qualificado de serviços de confiança não cumpre nenhum dos requisitos estabelecidos nesse regulamento, a entidade supervisora, se tal se justificar, nomeadamente, pela extensão, pela duração e pelas consequências do incumprimento, retira o estatuto de qualificado ao prestador ou ao serviço em causa por ele prestado. 3-C. A entidade supervisora informa o prestador qualificado de serviços de confiança da retirada do seu estatuto de qualificado ou do estatuto de qualificado do serviço em causa. A entidade supervisora informa a entidade notificada nos termos do artigo 22.o, n.o 3, do presente regulamento, para efeitos de atualização das listas de confiança referidas no n.o 1 do mesmo artigo, bem como a autoridade competente designada ou criada nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555. 4. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos no que diz respeito: a) À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.o 1; b) Aos requisitos de auditoria para os organismos de avaliação da conformidade efetuarem a avaliação da conformidade, inclusive a avaliação compósita, dos prestadores qualificados de serviços de confiança a que se refere o n.o 1; c) Aos sistemas de avaliação da conformidade utilizados pelos organismos de avaliação da conformidade para realizar a avaliação da conformidade dos prestadores qualificados de serviços de confiança e para a apresentação do relatório a que se refere o n.o 1. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
20) | O artigo 21.o é alterado do seguinte modo: a) Os n.os 1 e 2 passam a ter a seguinte redação: «1. Quando os prestadores de serviços de confiança pretendam começar a prestar serviços de confiança qualificado, apresentam à entidade supervisora uma notificação da sua intenção, acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade que ateste o cumprimento dos requisitos estabelecidos no presente regulamento e no artigo 21.o da Diretiva (UE) 2022/2555. 2. A entidade supervisora verifica se o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento e, designadamente, os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados. A fim de verificar se o prestador de serviços de confiança cumpre os requisitos estabelecidos no artigo 21.o da Diretiva (UE) 2022/2555, a entidade supervisora solicita às autoridades competentes designadas ou criadas nos termos do artigo 8.o, n.o 1, dessa diretiva que realizem ações de supervisão nesse sentido e prestem informações sobre o resultado, sem demora indevida e, em qualquer caso, no prazo de dois meses a contar da receção desse pedido. Se a verificação não ficar concluída no prazo de dois meses a contar da notificação, a autoridade competente informa a entidade supervisora, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída. Se concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos previstos no presente regulamento, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo. Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.»; b) O n.o 4 passa a ter a seguinte redação: «4. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, os formatos e procedimentos de notificação e verificação para efeitos do disposto nos n.os 1 e 2 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
21) | O artigo 24.o é alterado do seguinte modo: a) O n.o 1 passa a ter a seguinte redação: «1. Ao emitirem certificados qualificados ou certificados eletrónicos qualificados de atributos, os prestadores qualificados de serviços de confiança verificam a identidade e, se aplicável, os eventuais atributos específicos da pessoa singular ou coletiva à qual é emitido o certificado qualificado ou o certificado eletrónico qualificado de atributos. 1-A. A verificação da identidade referida no n.o 1 é efetuada, pelos meios adequados, pelos prestadores qualificados de serviços de confiança, diretamente ou através de um terceiro, com base num dos seguintes métodos ou numa combinação dos mesmos, quando necessário, em conformidade com os atos de execução a que se refere o n.o 1-C: a) Através da carteira europeia de identidade digital ou de um meio de identificação eletrónica notificado que satisfaça os requisitos estabelecidos no artigo 8.o no que diz respeito ao nível de garantia elevado; b) Através de um certificado qualificado de assinatura eletrónica ou de um selo eletrónico qualificado emitido em cumprimento da alínea a), c) ou d); c) Utilizando outros métodos de identificação que garantam a identificação da pessoa com um elevado nível de certeza, cuja conformidade é atestada por um organismo de avaliação da conformidade; d) Pela presença física da pessoa singular ou de um representante autorizado da pessoa coletiva, através de elementos de prova adequados e procedimentos, em conformidade com o direito nacional. 1-B. A verificação dos atributos referida no n.o 1 é efetuada, pelos meios adequados, pelos prestadores qualificados de serviços de confiança, diretamente ou através de um terceiro, com base num dos seguintes métodos ou, caso seja necessário, numa combinação dos mesmos, em conformidade com os atos de execução a que se refere o n.o 1-C: a) Através da carteira europeia de identidade digital ou de um meio de identificação eletrónica notificado que satisfaça os requisitos estabelecidos no artigo 8.o no que diz respeito ao nível de garantia elevado; b) Através de um certificado qualificado de assinatura eletrónica ou de um selo eletrónico qualificado emitido em conformidade com o n.o 1-A, alínea a), c) ou d); c) Através de uma validação qualificada de certificados eletrónicos de atributos; d) Utilizando outros métodos que garantam a verificação dos atributos com um elevado nível de confiança, cuja conformidade é atestada por um organismo de avaliação da conformidade; e) Através da presença física da pessoa singular ou de um representante autorizado da pessoa coletiva, através de elementos de prova adequados e procedimentos, em conformidade com o direito nacional. 1-C. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos para a verificação da identidade e dos atributos em conformidade com os n.os 1, 1-A e 1-B do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; b) O n.o 2 é alterado do seguinte modo: i) a alínea a) passa a ter a seguinte redação: «a) Informam a entidade supervisora pelo menos um mês antes de implementar qualquer alteração da prestação dos seus serviços de confiança qualificados ou, pelo menos, três meses antes em caso de intenção de cessar essas atividades;», ii) as alíneas d) e e) passam a ter a seguinte redação: «d) Antes de estabelecerem uma relação contratual, informam, de forma clara, completa e facilmente acessível, num espaço acessível ao público e individualmente, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização; e) Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte, incluindo a utilização de técnicas criptográficas adequadas;», iii) são aditados os seguintes pontos: «f-A) Não obstante o disposto no artigo 21.o da Diretiva (UE) 2022/2555, dispõem de políticas adequadas e tomam as medidas correspondentes para gerir riscos jurídicos, comerciais, operacionais e outros riscos diretos ou indiretos relacionados com a prestação de serviços de confiança qualificados, incluindo, pelo menos, medidas relacionadas com: i) os procedimentos de registo e adesão a um serviço, ii) os controlos processuais ou administrativos, iii) a gestão e implementação de serviços; f-B) Notificam a entidade supervisora, as pessoas afetadas identificáveis, outros organismos competentes relevantes, se for caso disso, e, a pedido da entidade supervisora, o público, se tal for de interesse público, de quaisquer violações da segurança ou perturbações na prestação do serviço ou na aplicação das medidas referidas na alínea f-A), subalíneas i), ii) ou iii), que tenham um impacto significativo no serviço de confiança prestado ou nos dados pessoais nele conservados, sem demora indevida e, em qualquer caso, no prazo de 24 horas após o incidente;», iv) as alíneas g), h) e i) passam a ter a seguinte redação: «g) Tomam as medidas adequadas contra a falsificação, o roubo ou a apropriação indevida dos dados, ou a eliminação, a alteração ou o impedimento do acesso aos dados, na ausência de direito para tal; h) Registam e mantêm acessíveis durante o tempo que for necessário depois de o prestador qualificado de serviços de confiança ter cessado as suas atividades, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito por via eletrónica; i) Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 46.o-B, n.o 4, alínea i);», v) é suprimida a alínea j), vi) é aditado o seguinte parágrafo: «A entidade supervisora pode solicitar informações para além das informações notificadas nos termos da alínea a) do primeiro parágrafo ou do resultado de uma avaliação da conformidade e pode condicionar a concessão da autorização para implementar as alterações pretendidas dos serviços de confiança qualificados. Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação deve estar concluída.»; c) O n.o 5 passa a ter a seguinte redação: «4-A. Os n.os 3 e 4 aplicam-se em conformidade à revogação de certificados eletrónicos qualificados de atributos. 4-B. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 47.o, estabelecendo as medidas adicionais referidas no n.o 2, alínea f-A), do presente artigo. 5. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos para os requisitos referidos no n.o 2 do presente artigo. Sempre que essas especificações técnicas, procedimentos e normas forem cumpridos, beneficiam da presunção de conformidade com os requisitos estabelecidos no presente número. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
22) | No capítulo III, secção 3, é inserido o seguinte artigo: «Artigo 24.o-A Reconhecimento de serviços de confiança qualificados 1. As assinaturas eletrónicas qualificadas baseadas num certificado qualificado emitido num Estado-Membro e os selos eletrónicos qualificados baseados num certificado qualificado emitido num Estado-Membro são reconhecidos, respetivamente, como assinaturas eletrónicas qualificadas e selos eletrónicos qualificados em todos os outros Estados-Membros. 2. Os dispositivos qualificados de criação de assinaturas eletrónicas e os dispositivos qualificados de criação de selos eletrónicos certificados num Estado-Membro são reconhecidos, respetivamente, como dispositivos qualificados de criação de assinaturas eletrónicas e dispositivos qualificados de criação de selos eletrónicos em todos os outros Estados-Membros. 3. Um certificado qualificado para assinaturas eletrónicas, um certificado qualificado para selos eletrónicos, um serviço de confiança qualificado para a gestão de dispositivos qualificados de criação de assinaturas eletrónicas à distância e um serviço de confiança qualificado para a gestão de dispositivos qualificados de criação de selos eletrónicos à distância fornecidos num Estado-Membro são reconhecidos, respetivamente, como um certificado qualificado para assinaturas eletrónicas, um certificado qualificado para selos eletrónicos, um serviço de confiança qualificado para a gestão de dispositivos qualificados de criação de assinaturas eletrónicas à distância e um serviço de confiança qualificado para a gestão de dispositivos qualificados de criação de selos eletrónicos à distância em todos os outros Estados-Membros. 4. Um serviço qualificado de validação de assinaturas eletrónicas qualificadas e um serviço qualificado de validação de selos eletrónicos qualificados prestados num Estado-Membro são reconhecidos, respetivamente, como um serviço qualificado de validação de assinaturas eletrónicas qualificadas e um serviço qualificado de validação de selos eletrónicos qualificados em todos os outros Estados-Membros. 5. Um serviço qualificado de preservação de assinaturas eletrónicas qualificadas e um serviço qualificado de preservação de selos eletrónicos qualificados prestados num Estado-Membro são reconhecidos, respetivamente, como um serviço qualificado de preservação de assinaturas eletrónicas qualificadas e um serviço qualificado de preservação de selos eletrónicos qualificados em todos os outros Estados-Membros. 6. Um selo temporal qualificado fornecido num Estado-Membro é reconhecido como um selo temporal qualificado em todos os outros Estados-Membros. 7. Um certificado qualificado de autenticação de sítios Web emitido num Estado-Membro é reconhecido como um certificado qualificado para autenticação de sítios Web em todos os outros Estados-Membros. 8. Um serviço qualificado de envio registado eletrónico prestado num Estado-Membro é reconhecido como um serviço qualificado de envio registado eletrónico em todos os outros Estados-Membros. 9. Um certificado eletrónico qualificado de atributos emitido num Estado-Membro é reconhecido como um certificado eletrónico qualificado de atributos em todos os outros Estados-Membros. 10. Um serviço qualificado de arquivo eletrónico prestado num Estado-Membro é reconhecido como um serviço qualificado de arquivo eletrónico em todos os outros Estados-Membros. 11. Um livro-razão eletrónico qualificado fornecido num Estado-Membro é reconhecido como livro-razão eletrónico qualificado em todos os outros Estados-Membros.»; |
23) | No artigo 25.o, é suprimido o n.o 3; |
24) | O artigo 26.o é alterado do seguinte modo: a) O parágrafo único passa a n.o 1; b) É aditado o seguinte número: «2. Até 21 de maio de 2026, a Comissão avalia se é necessário adotar atos de execução para estabelecer uma lista de normas de referência e, se necessário, estabelecer especificações e procedimentos para as assinaturas eletrónicas avançadas. Com base nessa avaliação, a Comissão pode adotar esses atos de execução. As assinaturas avançadas que satisfazem esses procedimentos, normas e especificações beneficiam da presunção de conformidade com os requisitos para as assinaturas eletrónicas avançadas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
25) | No artigo 27.o, é suprimido o n.o 4; |
26) | No artigo 28.o, o n.o 6 passa a ter a seguinte redação: «6. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para certificados qualificados de assinatura eletrónica. Os certificados qualificados para assinatura eletrónica que cumprem esses procedimentos, normas e especificações beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo I. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
27) | No artigo 29.o, é inserido o seguinte número: «1-A. A geração ou a gestão de dados para a criação de uma assinatura eletrónica ou a duplicação desses dados para a criação de assinaturas para fins de cópia de segurança podem ser efetuadas apenas em nome do signatário, a pedido deste, e por um prestador qualificado de serviços de confiança que ofereça um serviço de confiança qualificado para a gestão de um dispositivo qualificado de criação de assinaturas eletrónicas à distância.»; |
28) | É inserido o seguinte artigo: «Artigo 29.o-A Requisitos aplicáveis a um serviço qualificado para a gestão de dispositivos qualificados de criação de assinaturas eletrónicas à distância 1. A gestão de dispositivos qualificados de criação de assinaturas eletrónicas à distância enquanto serviço qualificado só pode ser realizada por um prestador qualificado de serviços de confiança que: a) Proceda à geração ou à gestão de dados para a criação de uma assinatura eletrónica em nome do signatário; b) Não obstante o disposto no ponto 1, alínea d), do anexo II, duplica os dados para a criação de uma assinatura eletrónica apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos: i) a segurança dos conjuntos de dados duplicados está ao mesmo nível da dos conjuntos de dados originais, ii) o número de conjuntos de dados duplicados não excede o mínimo necessário para garantir a continuidade do serviço; c) Cumpra todos os requisitos identificados no relatório de certificação do específico dispositivo qualificado de criação de assinaturas eletrónicas à distância emitido nos termos do artigo 30.o. 2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, especificações e procedimentos para efeitos do n.o 1 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
29) | Ao artigo 30.o, é aditado o seguinte número: «3-A. A validade da certificação a que se refere o n.o 1 não excede cinco anos, desde que as avaliações das vulnerabilidades sejam realizadas de dois em dois anos. Sempre que sejam identificadas vulnerabilidades e as mesmas não sejam corrigidas, a certificação é cancelada.»; |
30) | No artigo 31.o, o n.o 3 passa a ter a seguinte redação: «3. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, formatos e procedimentos aplicáveis para efeitos do disposto no n.o 1 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
31) | O artigo 32.o é alterado do seguinte modo: a) Ao n.o 1, é aditado o seguinte parágrafo: «A validação de assinaturas eletrónicas qualificadas que cumpre as normas, especificações e procedimentos referidos no n.o 3 beneficia da presunção de conformidade com os requisitos estabelecidos no primeiro parágrafo do presente número.»; b) O n.o 3 passa a ter a seguinte redação: «3. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para a validação de assinaturas eletrónicas qualificadas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
32) | É inserido o seguinte artigo: «Artigo 32.o-A Requisitos para a validação de assinaturas eletrónicas avançadas com base em certificados qualificados 1. O processo de validação de uma assinatura eletrónica avançada baseado num certificado qualificado atesta a validade de uma assinatura eletrónica avançada baseada num certificado qualificado, desde que: a) No momento da assinatura, o certificado que lhe serve de suporte seja um certificado qualificado para assinatura eletrónica conforme com o disposto no anexo I; b) O certificado qualificado tenha sido emitido por um prestador qualificado de serviços de confiança e tenha sido válido no momento da assinatura; c) Os dados para a validação da assinatura correspondam aos dados fornecidos ao utilizador; d) O conjunto único de dados que representam o signatário no certificado sejam corretamente fornecidos ao utilizador; e) A utilização de um pseudónimo no momento da assinatura seja claramente indicada ao utilizador; f) A integridade dos dados assinados não tenha sido afetada; g) Os requisitos previstos no artigo 26.o se encontrassem preenchidos no momento da assinatura. 2. O sistema utilizado para validar a assinatura eletrónica avançada com base em certificados qualificados fornece ao utilizador o resultado correto do processo de validação e permite-lhe detetar eventuais problemas de segurança. 3. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para a validação de assinaturas eletrónicas avançadas com base em certificados qualificados. A validação de assinaturas eletrónicas avançadas com base em certificados qualificados que cumpre essas normas, especificações e procedimentos beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
33) | No artigo 33.o, o n.o 2 para a ter a seguinte redação: «2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos relativos ao serviço qualificado de validação a que se refere o n.o 1 do presente artigo. Os serviços qualificados de validação de assinaturas eletrónicas qualificadas que cumprem essas normas, especificações e procedimentos beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 1 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
34) | O artigo 34.o é alterado do seguinte modo: a) É inserido o seguinte número: «1-A. As disposições aplicáveis ao serviço qualificado de conservação de assinaturas eletrónicas qualificadas que cumprem as normas, especificações e procedimentos referidos no n.o 2 beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 1.»; b) O n.o 2 passa a ter a seguinte redação: «2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para serviços qualificados de preservação de assinaturas eletrónicas qualificadas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
35) | No artigo 35.o, é suprimido o n.o 3; |
36) | O artigo 36.o é alterado do seguinte modo: a) O parágrafo único passa a n.o 1; b) É aditado o seguinte número: «2. Até 21 de maio de 2026, a Comissão avalia se é necessário adotar atos de execução a fim de estabelecer uma lista de normas de referência e, se necessário, estabelecer especificações e procedimentos aplicáveis aos selos eletrónicos avançados. Com base no resultado dessa avaliação, a Comissão pode adotar tais atos de execução. Os selos eletrónicos avançados que cumprem essas normas, especificações e procedimentos beneficiam da presunção de conformidade com os requisitos para os selos eletrónicos avançados. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
37) | No artigo 37.o, é suprimido o n.o 4; |
38) | No artigo 38.o, o n.o 6 passa a ter a seguinte redação: «6. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para certificados qualificados de selos eletrónicos. Os certificados qualificados de selos eletrónicos que cumprem essas normas, especificações e procedimentos beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo III. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
39) | É inserido o seguinte artigo: «Artigo 39.o-A Requisitos aplicáveis a um serviço qualificado para a gestão de dispositivos qualificados de criação de selos eletrónicos à distância O artigo 29.o-A aplica-se mutatis mutandis a um serviço qualificado para a gestão de dispositivos qualificados de criação de selos eletrónicos à distância.»; |
40) | No capítulo III, secção 5, é inserido o seguinte artigo: «Artigo 40.o-A Requisitos para a validação de selos eletrónicos avançados com base em certificados qualificados O artigo 32.o-A aplica-se mutatis mutandis à validação dos selos eletrónicos avançados com base em certificados qualificados.»; |
41) | No artigo 41.o, é suprimido o n.o 3. |
42) | O artigo 42.o é alterado do seguinte modo: a) É inserido o seguinte número: «1-A. A vinculação da data e da hora aos dados e a precisão da fonte horária que cumprem as normas, especificações e procedimentos referidos no n.o 2 beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 2.»; b) O n.o 2 passa a ter a seguinte redação: «2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos relativos à vinculação da data e da hora aos dados e à determinação da precisão das fontes horárias. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
43) | O artigo 44.o é alterado do seguinte modo: a) É inserido o seguinte número: «1-A. O processo de envio e receção de dados que cumpre as normas, especificações e procedimentos referidos no n.o 2 beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1.»; b) O n.o 2 passa a ter a seguinte redação: «2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para os processos de envio e receção de dados. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; c) São inseridos os seguintes números: «2-A. Os prestadores de serviços qualificados de envio registado eletrónico podem acordar na interoperabilidade dos serviços qualificados de envio registado eletrónico que prestam. Este quadro de interoperabilidade cumpre os requisitos estabelecidos no n.o 1 e esse cumprimento é atestado por um organismo de avaliação da conformidade. 2-B. O Comissão pode, por meio de atos de execução, estabelecer uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos relativos ao quadro de interoperabilidade a que se refere o n.o 2-A do presente artigo. As especificações técnicas e o conteúdo das normas são eficazes em termos de custos e proporcionados. Os atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
44) | O artigo 45.o passa a ter a seguinte redação: «Artigo 45.o Requisitos aplicáveis aos certificados qualificados de autenticação de sítios Web 1. Os certificados qualificados de autenticação de sítios Web cumprem os requisitos estabelecidos no anexo IV. A avaliação do cumprimento desses requisitos é efetuada em conformidade com as normas, as especificações e os procedimentos referidos no n.o 2 do presente artigo. 1-A. Os certificados qualificados de autenticação de sítios Web emitidos em conformidade com o n.o 1 do presente artigo são reconhecidos pelos fornecedores de navegadores Web. Os fornecedores de navegadores Web garantem que os dados de identidade atestados no certificado e os atributos adicionais certificados são apresentados de uma forma que facilite a utilização. Os fornecedores de navegadores Web asseguram a compatibilidade e a interoperabilidade com os certificados qualificados de autenticação de sítios Web a que se refere o n.o 1 do presente artigo, com exceção das microempresas ou pequenas empresas, na aceção do artigo 2.o do anexo da Recomendação 2003/361/CE, durante os primeiros cinco anos de atividade como prestadores de serviços de navegação Web. 1-B. Os certificados qualificados de autenticação de sítios Web não estão sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no n.o 1. 2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos relativos aos certificados qualificados de autenticação de sítios Web a que se refere o n.o 1 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
45) | É inserido o seguinte artigo: «Artigo 45.o-A Medidas de precaução em matéria de cibersegurança 1. Os fornecedores de navegadores Web não tomam nenhuma medida contrária às suas obrigações estabelecidas no artigo 45.o, nomeadamente os requisitos de reconhecer certificados qualificados de autenticação de sítios Web e de apresentar os dados de identificação fornecidos de uma forma que facilite a utilização. 2. Em derrogação do n.o 1 e apenas em caso de preocupações fundamentadas relacionadas com a violação da segurança ou perda de integridade de um certificado ou conjunto de certificados identificados, os fornecedores de navegadores Web podem tomar medidas de precaução em relação a esse certificado ou conjunto de certificados. 3. Caso um fornecedor de um navegador Web tome medidas de precaução nos termos do n.o 2, o fornecedor do navegador Web notifica, por escrito, sem demora indevida, as suas preocupações à Comissão, à entidade de controlo competente, à entidade à qual o certificado foi emitido e ao prestador qualificado de serviços de confiança que emitiu esse certificado ou conjunto de certificados, juntamente com uma descrição das medidas tomadas para atenuar essas preocupações. Após receção dessa notificação, a entidade de controlo competente envia um aviso de receção ao fornecedor do navegador Web em causa. 4. A entidade de controlo competente averigua as questões suscitadas na notificação nos termos do artigo 46.o-B, n.o 4, alínea k). Se o resultado dessa averiguação não resultar na retirada do estatuto de qualificado do certificado, a entidade de controlo informa o fornecedor do navegador Web em conformidade e solicita a esse fornecedor que ponha termo às medidas de precaução a que se refere o n.o 2 do presente artigo.»; |
46) | Ao Capítulo III são aditadas as seguintes secções: «SECÇÃO 9 CERTIFICADO ELETRÓNICO DE ATRIBUTOS Artigo 45.o-B Efeitos legais do certificado eletrónico de atributos 1. Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um certificado eletrónico de atributos pelo simples facto de revestir a forma eletrónica ou de não cumprir os requisitos dos certificados eletrónicos qualificados de atributos. 2. Os certificados eletrónicos qualificados de atributos e os certificados de atributos emitidos por um organismo do setor público responsável por uma fonte autêntica ou em seu nome têm o mesmo efeito jurídico que os certificados legalmente emitidos em papel. 3. Os certificados de atributos emitidos por ou em nome de um organismo do setor público responsável por uma fonte autêntica num Estado-Membro são reconhecidos em todos os Estados-Membros como certificados de atributos emitidos por ou em nome de um organismo do setor público responsável por uma fonte autêntica. Artigo 45.o-C Certificado eletrónico de atributos em serviços públicos Quando o direito nacional exigir uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação para aceder a um serviço em linha prestado por um organismo público, os dados de identificação pessoal constantes do certificado eletrónico de atributos não substituem a identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação para fins de identificação eletrónica, salvo se especificamente autorizado pelo Estado-Membro. Nesse caso, também são aceites os certificados eletrónicos qualificados de atributos de outros Estados-Membros. Artigo 45.o-D Requisitos aplicáveis aos certificados eletrónicos qualificados de atributos 1. O certificado eletrónico qualificado de atributos satisfaz os requisitos estabelecidos no anexo V. 2. A avaliação do cumprimento dos requisitos estabelecidos no anexo V é efetuada em conformidade com as normas, especificações e procedimentos referidos no n.o 5 do presente artigo. 3. Os certificados eletrónicos qualificados de atributos não podem estar sujeitos a requisitos obrigatórios para além dos requisitos estabelecidos no anexo V. 4. Sempre que os certificados eletrónicos qualificados de atributos tenham sido revogados após a emissão inicial perdem a validade a partir do momento da revogação, não podendo o seu estatuto ser revertido em caso algum. 5. Até 21 de novembro de 2024, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos relativos aos certificados eletrónicos qualificados de atributos. Os referidos atos de execução são conformes com os atos de execução a que se refere o artigo 5.o-A, n.o 23, relativos à implementação da carteira europeia de identidade digital. São adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 45.o-E Verificação de atributos por confronto com fontes autênticas 1. Os Estados-Membros asseguram, no prazo de 24 meses da data da entrada em vigor dos atos de execução referidos no artigo 5.o-A, n.o 23, e no artigo 5.o-C, n.o 6, que, pelo menos em relação aos atributos enumerados no anexo VI, sempre que esses atributos se baseiem em fontes autênticas do setor público, são adotadas medidas que permitam aos prestadores qualificados de serviços de confiança de certificados eletrónicos de atributos verificar esses atributos com recurso a meios eletrónicos, mediante pedido do utente, em conformidade com o direito da União ou nacional. 2. Até 21 de novembro de 2024, a Comissão estabelece, tendo em conta as normas internacionais aplicáveis, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos relativos ao catálogo de atributos, bem como sistemas de certificação de atributos e procedimentos de verificação referentes aos certificados eletrónicos qualificados de atributos para efeitos do n.o 1 do presente artigo. Os referidos atos de execução são conformes com os atos de execução a que se refere o artigo 5.o-A, n.o 23, relativos à implementação da carteira europeia de identidade digital. São adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 45.o-F Requisitos para o certificado eletrónico de atributos emitido por ou em nome de um organismo do setor público responsável por uma fonte autêntica 1. Um certificado eletrónico de atributos emitido por ou em nome de um organismo do setor público responsável por uma fonte autêntica satisfaz os seguintes requisitos: a) Aqueles estabelecidos no anexo VII; b) O certificado qualificado que sustenta a assinatura eletrónica qualificada ou do selo eletrónico qualificado do organismo do setor público a que se refere o artigo 3.o, ponto 46), identificado como o emitente a que se refere o anexo VII, alínea b), contém um conjunto específico de atributos certificados numa forma adequada para o tratamento automático e que: i) indica que o organismo emissor está estabelecido, em conformidade com o direito da União ou nacional, como responsável pela fonte autêntica com base na qual é emitido o certificado eletrónico de atributos, ou como organismo designado para agir em seu nome, ii) fornece um conjunto de dados que representem inequivocamente a fonte autêntica referida na subalínea i), e iii) identifica o direito da União ou nacional referido na subalínea i). 2. O Estado-Membro em que estão estabelecidos os organismos do setor público a que se refere o artigo 3.o, ponto 46), assegura que os organismos do setor público que emitem certificados eletrónicos de atributos têm um nível de fiabilidade e confiança equivalente ao dos prestadores qualificados de serviços de confiança nos termos do artigo 24.o. 3. Os Estados-Membros notificam à Comissão os organismos do setor público referidos no artigo 3.o, ponto 46). Essa notificação inclui um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade que atesta o cumprimento dos requisitos estabelecidos nos n.os 1, 2 e 6 do presente artigo. A Comissão disponibiliza ao público, através de um canal seguro, a lista dos organismos do setor público referidos no artigo 3.o, ponto 46), num formato assinado ou selado por via eletrónica, adequado ao tratamento automático. 4. Se um certificado eletrónico de atributos emitido por um organismo do setor público responsável por uma fonte autêntica, ou em seu nome, tiver sido revogado após a emissão inicial, perde a sua validade a partir do momento da sua revogação e o seu estatuto não é revertido. 5. Um certificado eletrónico de atributos emitido por um organismo do setor público responsável por uma fonte autêntica ou em seu nome é considerado conforme com os requisitos estabelecidos no n.o 1 se cumprir as normas, as especificações e os procedimentos referidos no n.o 6. 6. Até 21 de novembro de 2024, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos relativos a certificados eletrónicos de atributos emitidos por um organismo do setor público responsável por uma fonte autêntica ou em seu nome. Os referidos atos de execução são conformes com os atos de execução a que se refere o artigo 5.o-A, n.o 23, relativos à implementação da carteira europeia de identidade digital. São adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. 7. Até 21 de novembro de 2024, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos para efeitos do n.o 3 do presente artigo. Os referidos atos de execução são conformes com os atos de execução a que se refere o artigo 5.o-A, n.o 23, relativos à implementação da carteira europeia de identidade digital. São adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. 8. Os organismos do setor público referidos no artigo 3.o, ponto 46) que emitem o certificado eletrónico qualificado de atributos facultam uma interface com as carteiras europeias de identidade digital fornecidas nos termos do artigo 5.o-A. Artigo 45.o-G Emissão de certificados eletrónicos de atributos para as carteiras europeias de identidade digital 1. Os fornecedores de certificados eletrónicos de atributos proporcionam aos utentes de carteiras europeias de identidade digital a possibilidade de solicitar, obter, armazenar e gerir o certificado eletrónico de atributos, independentemente do Estado-Membro em que a carteira europeia de identidade digital é fornecida. 2. Os fornecedores de certificados eletrónicos qualificados de atributos facultam uma interface com as carteiras europeias de identidade digital fornecidas nos termos do artigo 5.o-A. Artigo 45.o-H Regras adicionais para a prestação de serviços de certificados eletrónicos de atributos 1. Os prestadores de serviços qualificados e não qualificados de certificados eletrónicos de atributos não combinam dados pessoais relacionados com a prestação desses serviços com dados pessoais de quaisquer outros serviços que prestem ou que sejam prestados pelos seus parceiros comerciais. 2. Os dados pessoais relacionados com a prestação de serviços de certificados eletrónicos de atributos são logicamente mantidos separados de outros dados detidos pelo fornecedor de certificados eletrónicos de atributos. 3. Os prestadores de serviços de certificados eletrónicos qualificados de atributos implementam a prestação desses serviços de confiança qualificados de uma forma funcionalmente separada de outros serviços que prestam. SECÇÃO 10 SERVIÇOS DE ARQUIVO ELETRÓNICO Artigo 45.o-I Efeito legal de serviços de arquivo eletrónico 1. Não podem ser negados efeitos jurídicos nem admissibilidade como prova em processo judicial aos dados eletrónicos nem aos documentos eletrónicos conservados através de um serviço de arquivo eletrónico pelo simples facto de revestirem a forma eletrónica ou de não serem conservados através de um serviço qualificado de arquivo eletrónico. 2. Os dados eletrónicos e os documentos eletrónicos conservados através de um serviço qualificado de arquivo eletrónico gozam da presunção da sua integridade e origem durante o período de conservação pelo prestador qualificado de serviços de confiança. Artigo 45.o-J Requisitos aplicáveis aos serviços qualificados de arquivo eletrónico 1. Os serviços qualificados de arquivo eletrónico satisfazem os seguintes requisitos: a) São fornecidos por prestadores qualificados de serviços de confiança; b) Utilizam procedimentos e tecnologias capazes de assegurar a durabilidade e a legibilidade de dados eletrónicos e de documentos eletrónicos para além do período de validade tecnológica e, pelo menos, ao longo do período de conservação legal ou contratual, preservando simultaneamente a sua integridade e a precisão da sua origem; c) Asseguram que esses dados eletrónicos e esses documentos eletrónicos são conservados de modo a estarem protegidos contra a perda e a alteração, exceto no que diz respeito às alterações do seu suporte ou formato eletrónico; d) Permitem que aos utilizadores autorizadas recebam um relatório de forma automatizada que confirme que dados eletrónicos e documentos eletrónicos extraídos de um arquivo eletrónico qualificado beneficiam da presunção de integridade dos dados desde o início do período de conservação até ao momento da sua extração. O relatório referido na alínea d) do primeiro parágrafo é apresentado de forma fiável e eficiente e ostenta a assinatura eletrónica qualificada ou o selo eletrónico qualificado do prestador do serviço qualificado de arquivo eletrónico. 2. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos relativos aos serviços qualificados de arquivo eletrónico. Os serviços de arquivo eletrónico qualificados que cumprem essas normas, especificações e procedimentos beneficiam da presunção de conformidade com os requisitos para serviços de arquivo eletrónico qualificados. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. SECÇÃO 11 LIVROS-RAZÃO ELETRÓNICOS Artigo 45.o-K Efeitos legais dos livros-razão eletrónicos 1. Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um livro-razão eletrónico pelo simples facto de revestir a forma eletrónica ou de não satisfazer os requisitos dos livros-razão eletrónicos qualificados. 2. Os registos de dados contidos num livro-razão eletrónico qualificado beneficiam da presunção da sua ordem cronológica única e exata e da sua integridade. Artigo 45.o-L Requisitos aplicáveis aos livros-razão eletrónicos qualificados 1. Os livros-razão eletrónicos qualificados satisfazem os seguintes requisitos: a) São criados e geridos por um ou mais prestadores qualificados de serviços de confiança; b) Estabelecem a origem dos registos de dados no livro-razão; c) Asseguram a ordem cronológica única e sequencial dos registos de dados no livro-razão; d) Registam os dados de forma a que qualquer alteração subsequente dos mesmos seja imediatamente detetável, garantindo a sua integridade ao longo do tempo. 2. Os livros-razão eletrónicos que cumprem as normas, especificações e procedimentos referidos no n.o 3 beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 1. 3. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista de normas de referência e, se necessário, estabelece especificações e procedimentos relativos aos requisitos estabelecidos no n.o 1 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
47) | É inserido o seguinte capítulo: «CAPÍTULO IV-A REGIME DE GOVERNAÇÃO Artigo 46.o-A Supervisão do Regime para a carteira europeia de identidade digital 1. Os Estados-Membros designam uma ou mais entidades supervisoras estabelecidas no seu território. As entidades supervisoras designadas nos termos do primeiro parágrafo são dotadas dos poderes necessários e dos recursos adequados para o exercício das suas funções de forma eficaz, eficiente e independente. 2. Os Estados-Membros notificam à Comissão os nomes e endereços das suas entidades supervisoras designadas nos termos do n.o 1, bem como eventuais alterações subsequentes dos mesmos. A Comissão publica uma lista das entidades supervisoras notificadas. 3. As entidades supervisoras designadas nos termos do n.o 1 têm as seguintes funções: a) Supervisionar os fornecedores de carteiras europeias de identidade digital estabelecidos no Estado-Membro que procedeu à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os fornecedores e as carteiras europeias de identidade digital por eles fornecidas cumprem os requisitos estabelecidos no presente regulamento; b) Tomar medidas, se necessário, em relação aos fornecedores de carteiras europeias de identidade digital estabelecidos no território do Estado-Membro que procedeu à designação, por meio de atividades de supervisão a posteriori, sempre que sejam informados de que os fornecedores ou as carteiras europeias de identidade digital por eles fornecidas violam o presente regulamento. 4. As funções das entidades supervisoras designadas nos termos do n.o 1 incluem nomeadamente: a) Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos dos artigos 46.o-C e 46.o-E; b) Solicitar as informações necessárias para controlar o cumprimento do presente regulamento; c) Informar as autoridades competentes dos Estados-Membros em causa, designadas ou criadas nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555, de quaisquer violações significativas da segurança ou perda de integridade de que tomem conhecimento no exercício das suas funções e, em caso de violação significativa da segurança ou perda de integridade que diga respeito a outros Estados-Membros, informar o ponto de contacto único designado ou criado nos termos do artigo 8.o, n.o 3, da Diretiva (UE) 2022/2555 do Estado-Membro em causa e o ponto de contacto único designado nos termos do artigo 46.o-C, n.o 1, do presente regulamento nos restantes Estados-Membros em causa, e informar o público ou exigir que os fornecedores da carteira europeia de identidade digital o façam, caso a entidade supervisora determine que a divulgação da violação da segurança ou da perda de integridade seja do interesse público; d) Realizar inspeções no local e efetuar a supervisão fora do local; e) Exigir que os fornecedores de carteiras europeias de identidade digital corrijam eventuais incumprimentos dos requisitos previstos no presente regulamento; f) Suspender ou cancelar o registo e a inclusão dos utilizadores no mecanismo a que se refere o artigo 5.o-B, n.o 7, em caso de utilização ilegal ou fraudulenta da carteira europeia de identidade digital; g) Cooperar com as autoridades de controlo competentes criadas nos termos do artigo 51.o do Regulamento (UE) 2016/679, nomeadamente informando-as sem demora indevida se houver suspeita de as regras de proteção de dados pessoais terem sido violadas e sobre violações da segurança que pareçam constituir violações dos dados pessoais. 5. Caso a entidade supervisora designada nos termos do n.o 1 exija que o fornecedor de uma carteira europeia de identidade digital corrija qualquer incumprimento dos requisitos previstos no presente regulamento nos termos do n.o 4, alínea e), e esse fornecedor não atue em conformidade e, se aplicável, dentro de um prazo fixado por essa entidade supervisora, a entidade supervisora designada nos termos do n.o 1 pode, tendo em conta, nomeadamente, a extensão, a duração e as consequências desse incumprimento, ordenar ao fornecedor que suspenda ou cesse a disponibilização da carteira europeia de identidade digital. A entidade supervisora informa sem demora indevida as entidades supervisoras dos outros Estados-Membros, a Comissão, os utilizadores e os utentes da carteira europeia de identidade digital da decisão que exige a suspensão ou a cessação do fornecimento da carteira europeia de identidade digital. 6. Até 31 de março de cada ano, as entidades supervisoras designadas nos termos do n.o 1 apresentam à Comissão um relatório sobre as principais atividades do ano civil anterior. A Comissão disponibiliza esse relatório anual ao Parlamento Europeu e ao Conselho. 7. Até 21 de maio de 2025, a Comissão determina, por meio de atos de execução, os formatos e procedimentos aplicáveis ao relatório a que se refere o n.o 6 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 46.o-B Supervisão dos serviços de confiança 1. Os Estados-Membros designam uma entidade supervisora estabelecida no seu território ou designam, de comum acordo com outro Estado-Membro, uma entidade supervisora estabelecida nesse outro Estado-Membro. Essa entidade supervisora é responsável pelas funções de supervisão no Estado-Membro que procedeu à designação no que diz respeito aos serviços de confiança. As entidades supervisoras designadas nos termos do primeiro parágrafo são dotadas dos poderes necessários e dos recursos adequados para o exercício das suas funções. 2. Os Estados-Membros notificam à Comissão os nomes e endereços das entidades supervisoras designadas nos termos do n.o 1, bem como quaisquer alterações subsequentes dos mesmos. A Comissão publica uma lista das entidades supervisoras notificadas. 3. As entidades supervisoras designadas nos termos do n.o 1 têm as seguintes funções: a) Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procedeu à designação e assegurar, por meio de atividades de supervisão a priori e a posteriori, que os prestadores qualificados de serviços de confiança e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento; b) Se necessário, tomar medidas face aos prestadores não qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procedeu à designação, por meio de atividades de supervisão a posteriori, se for informado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento. 4. As funções da entidade supervisora designada nos termos do n.o 1 incluem nomeadamente: a) Informar as autoridades competentes dos Estados-Membros em causa, designadas ou criadas nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555, de qualquer violação significativa da segurança ou perda de integridade de que tome conhecimento no exercício das suas funções e, em caso de violação significativa da segurança ou perda de integridade que diga respeito a outros Estados-Membros, informar o ponto de contacto único designado ou criado nos termos do artigo 8.o, n.o 3, da Diretiva (UE) 2022/2555 do Estado-Membro em causa e os pontos de contacto único designados nos termos do artigo 46.o-C, n.o 1, do presente regulamento nos restantes Estados-Membros em causa, e informar o público ou exigir que o prestador de serviços de confiança o faça, caso a entidade supervisora determine que a divulgação da violação da segurança ou da perda de integridade seja do interesse público; b) Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos dos artigos 46.o-C e 46.o-E; c) Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1; d) Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6; e) Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2; f) Cooperar com as autoridades de controlo competentes criadas nos termos do artigo 51.o do Regulamento (UE) 2016/679, nomeadamente informando-as, sem demora indevida, se houver suspeita de as regras de proteção de dados pessoais terem sido violadas e sobre violações da segurança que pareçam constituir violações dos dados pessoais; g) Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o; h) Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora designada nos termos do n.o 1 do presente artigo; i) Verificar a existência e correta aplicação das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h); j) Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento; k) Investigar as alegações apresentadas pelos fornecedores de navegadores Web nos termos do artigo 45.o-A e tomar medidas, se necessário. 5. Os Estados-Membros podem exigir que a entidade supervisora designada nos termos do n.o 1 crie, conserve e atualize uma infraestrutura de confiança de acordo com o direito nacional. 6. Até 31 de março de cada ano, as entidades supervisoras designadas nos termos do n.o 1 apresentam à Comissão um relatório sobre as principais atividades do ano civil anterior. A Comissão disponibiliza o referido relatório anual ao Parlamento Europeu e ao Conselho. 7. Até 21 de maio de 2025, a Comissão adota orientações sobre o exercício, pelas entidades supervisoras designadas nos termos do n.o 1 do presente artigo, das funções a que se refere o n.o 4 do presente artigo e, por meio de atos de execução, estabelece os formatos e procedimentos aplicáveis ao relatório a que se refere o n.o 6 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2. Artigo 46.o-C Pontos de contacto único 1. Cada Estado-Membro designa um ponto de contacto único para os serviços de confiança, as carteiras europeias de identidade digital e os sistemas de identificação eletrónica notificados. 2. Cada ponto de contacto único exerce uma função de ligação para facilitar a cooperação transfronteiriça entre as entidades supervisoras dos prestadores de serviços de confiança e entre as entidades supervisoras dos fornecedores de carteiras europeias de identidade digital e, se for caso disso, com a Comissão e a Agência da União Europeia para a Cibersegurança (ENISA) e com outras autoridades competentes no seu Estado-Membro. 3. Cada Estado-Membro torna público e, sem demora indevida, notifica à Comissão os nomes e endereços do ponto de contacto único designado nos termos do n.o 1, bem como quaisquer alterações subsequentes dos mesmos. 4. A Comissão publica uma lista dos pontos de contacto único notificados nos termos do n.o 3. Artigo 46.o-D Assistência mútua 1. A fim de facilitar a supervisão e o cumprimento das obrigações decorrentes do presente regulamento, as entidades supervisoras designadas nos termos dos artigos 46.o-A, n.o 1, e 46.o-B, n.o 1, podem solicitar, nomeadamente através do grupo de cooperação criado nos termos do artigo 46.o-E, n.o 1, a assistência mútua das entidades supervisoras de outro Estado-Membro onde o fornecedor da carteira europeia de identidade digital ou o prestador de serviços de confiança está estabelecido, ou onde as suas redes e sistemas de informação estão localizados ou onde são prestados os seus serviços. 2. A assistência mútua implica, pelo menos, que: a) A entidade supervisora que aplica medidas de supervisão e de execução num Estado-Membro informa e consulta a entidade supervisora do outro Estado-Membro em causa; b) Uma entidade supervisora pode solicitar à entidade supervisora de outro Estado-Membro em causa que tome medidas de supervisão ou de execução, incluindo, por exemplo, pedidos de realização de inspeções relacionadas com os relatórios de avaliação da conformidade a que se referem os artigos 20.o e 21.o relativos à prestação de serviços de confiança; c) Se for caso disso, as entidades supervisoras podem realizar investigações conjuntas com as entidades supervisoras de outros Estados-Membros. As disposições e os procedimentos aplicáveis às ações conjuntas ao abrigo do primeiro parágrafo são acordadas e estabelecidas pelos Estados-Membros em causa nos termos do seu direito nacional. 3. A entidades supervisora à qual tenham sido dirigidos pedidos de assistências pode indeferi-los por qualquer dos seguintes motivos: a) A assistência solicitada não é proporcional às atividades de supervisão da entidades supervisora realizadas nos termos do disposto nos artigos 46.o-A e 46.o-B; b) A entidade supervisora não é competentes para prestar a assistência solicitada; c) Prestar a assistência solicitada seria incompatível com o presente regulamento. 4. Até 21 de maio de 2025 e, posteriormente, de dois em dois anos, o grupo de cooperação criado nos termos do artigo 46.o-E, n.o 1, emite orientações sobre os aspetos organizacionais e os procedimentos de assistência mútua a que se referem os n.os 1 e 2 do presente artigo. Artigo 46.o-E Grupo de Cooperação Europeia para a Identidade Digital 1. A fim de apoiar e facilitar a cooperação transfronteiriça e o intercâmbio de informações entre os Estados-Membros sobre serviços de confiança, carteiras europeias de identidade digital e sistemas de identificação eletrónica notificados, a Comissão cria um Grupo de Cooperação Europeia para a Identidade Digital (“grupo de cooperação”). 2. O grupo de cooperação é composto por representantes designados pelos Estados-Membros e da Comissão. O grupo de cooperação é presidido pela Comissão. A Comissão assegura o secretariado do grupo de cooperação. 3. Os representantes das partes interessadas pertinentes podem, numa base ad hoc, ser convidados a assistir às reuniões do grupo de cooperação e a participar nos seus trabalhos na qualidade de observadores. 4. A ENISA é convidada a participar, na qualidade de observador, nos trabalhos do grupo de cooperação sempre que este proceder à troca de pontos de vista, boas práticas e informações sobre aspetos relevantes de cibersegurança, como a notificação de violações da segurança, e quando for abordada a utilização de certificados ou normas de cibersegurança. 5. As funções do grupo de cooperação são as seguintes: a) Proceder ao intercâmbio de aconselhamentos e cooperar com a Comissão sobre iniciativas estratégicas emergentes no domínio das carteiras de identidade digital, dos meios de identificação eletrónica e dos serviços de confiança; b) Aconselhar a Comissão, se for caso disso, na fase incipiente da elaboração de projetos de atos de execução e de atos delegados a adotar nos termos do presente regulamento; c) A fim de apoiar as entidades supervisoras na aplicação das disposições do presente regulamento: i) proceder ao intercâmbio de boas práticas e informações sobre a aplicação das disposições do presente regulamento, ii) analisar os aspetos importantes da evolução nos setores da carteira de identidade digital, da identificação eletrónica e dos serviços de confiança, iii) organizar reuniões conjuntas com partes interessadas de toda a União para discutir as atividades desenvolvidas pelo grupo de cooperação e partilhar pontos de vista sobre novos desafios políticos, iv) com o apoio da ENISA, proceder à troca de pontos de vista, boas práticas e informações sobre os aspetos de cibersegurança pertinentes relativos às carteiras europeias de identidade digital, aos sistemas de identificação eletrónica e aos serviços de confiança, v) proceder ao intercâmbio boas práticas relativamente ao desenvolvimento e à aplicação de políticas em matéria de notificação de violações da segurança e medidas comuns a que se referem os artigos 5.o-E e 10.o, vi) organizar reuniões conjuntas com o grupo de cooperação SRI criado nos termos do artigo 14.o, n.o 1, da Diretiva (UE) 2022/2555 para proceder ao intercâmbio de informações pertinentes em relação aos serviços de confiança e à identificação eletrónica relacionadas com ciberameaças, incidentes, vulnerabilidades, iniciativas de sensibilização, ações de formação, exercícios e competências, reforço das capacidades, capacidade em matéria de normas e especificações técnicas, bem como normas e especificações técnicas, vii) debater, a pedido de uma entidade supervisora, os pedidos específicos de assistência mútua a que se refere o artigo 46.o-D, viii) facilitar o intercâmbio de informações entre as entidades supervisoras, fornecendo orientações sobre os aspetos organizacionais e os procedimentos de assistência mútua a que se refere o artigo 46.o-D; d) Organizar as avaliações pelos pares dos sistemas de identificação eletrónica a notificar nos termos presente regulamento. 6. Os Estados-Membros garantem a cooperação eficaz e eficiente dos respetivos representantes designados no grupo de cooperação. 7. Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, as necessárias disposições processuais de facilitação da cooperação entre os Estados-Membros a que se refere o n.o 5 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.»; |
48) | O artigo 47.o é alterado do seguinte modo: a) Os n.os 2 e 3 passam a ter a seguinte redação: «2. O poder de adotar atos delegados referido no artigo 5.o-C, n.o 7, no artigo 24.o, n.o 4.o-B, e no artigo 30.o, n.o 4, é conferido à Comissão por tempo indeterminado a contar de 17 de setembro de 2014. 3. A delegação de poderes referida no artigo 5.o-C, n.o 7, no artigo 24.o, n.o 4.o-B, e no artigo 30.o, n.o 4, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.»; b) O n.o 5 passa a ter a seguinte redação: «5. Os atos delegados adotados nos termos do artigo 5.o-C, n.o 7, do artigo 24.o, n.o 4.o-B, ou do artigo 30.o, n.o 4, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação do ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogável por dois meses por iniciativa do Parlamento Europeu ou do Conselho.»; |
49) | No Capítulo VI é inserido o seguinte artigo: «Artigo 48.o-A Obrigações de comunicação de informações 1. Os Estados-Membros asseguram a recolha de estatísticas relativas ao funcionamento das carteiras europeias de identidade digital e dos serviços de confiança qualificados prestados no seu território. 2. As estatísticas recolhidas em conformidade com o disposto no n.o 1 incluem o seguinte: a) O número de pessoas singulares e coletivas que têm uma carteira europeia de identidade digital válida; b) O tipo e número de serviços que aceitam a utilização da carteira europeia de identidade digital; c) O número de queixas dos utentes e incidentes em matéria de proteção dos consumidores ou de proteção de dados relacionados com os utilizadores e os serviços de confiança qualificados; d) Um relatório de síntese, incluindo dados sobre incidentes que impedem a utilização da carteira europeia de identidade digital; e) Um resumo dos incidentes de segurança significativos, violações de dados e utentes afetados das carteiras europeias de identidade digital ou dos serviços de confiança qualificados. 3. As estatísticas a que se refere o n.o 2 são postas à disposição do público num formato aberto, de uso corrente e legível por máquina. 4. Até 31 de março de cada ano, os Estados-Membros apresentam à Comissão um relatório relativo às estatísticas recolhidas em conformidade com o n.o 2.»; |
50) | O artigo 49.o passa a ter a seguinte redação: «Artigo 49.o Revisão 1. A Comissão analisa a aplicação do presente regulamento e, até 21 de maio de 2026, apresenta um relatório ao Parlamento Europeu e ao Conselho. Nesse relatório, a Comissão avalia nomeadamente se é adequado modificar o âmbito de aplicação do presente regulamento ou as suas disposições especiais, nomeadamente as disposições incluídas no artigo 5.o-C, n.o 5, tendo em conta a experiência adquirida na aplicação do presente regulamento, bem como os desenvolvimentos tecnológicos, do mercado e jurídicos. Se necessário, esse relatório é acompanhado de uma proposta de alteração do presente regulamento. 2. O relatório a que se refere o n.o 1 inclui uma avaliação da disponibilidade, segurança e usabilidade dos meios de identificação eletrónica notificados e das carteiras europeias de identidade digital abrangidas pelo âmbito de aplicação do presente regulamento e afere se todos os prestadores privados de serviços em linha que dependem de serviços de identificação eletrónica de terceiros para a autenticação de utentes devem ser obrigados a aceitar a utilização dos meios de identificação eletrónica notificados e da carteira europeia de identidade digital. 3. Até 21 de maio de 2030 e, posteriormente, de quatro em quatro anos, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre os progressos realizados na consecução dos objetivos do presente regulamento.»; |
51) | O artigo 51.o passa a ter a seguinte redação: «Artigo 51.o Medidas transitórias 1. Os dispositivos seguros de criação de assinaturas cuja conformidade tenha sido determinada nos termos do artigo 3.o, n.o 4, da Diretiva 1999/93/CE continuam a ser considerados dispositivos qualificados de criação de assinaturas eletrónicas na aceção do presente regulamento até 21 de maio de 2027. 2. Os certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE continuam a ser considerados certificados qualificados de assinatura eletrónica na aceção do presente regulamento até 21 de maio de 2026. 3. A gestão de dispositivos qualificados de criação de assinaturas e selos eletrónicos à distância por prestadores qualificados de serviços de confiança que não os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados para a gestão de dispositivos qualificados de criação de assinaturas eletrónicas e selos eletrónicos à distância em conformidade com os artigos 29.o-A e 39.o-A pode ser realizada sem necessidade de obter o estatuto de qualificado para a prestação desses serviços de gestão até 21 de maio de 2026. 4. Os prestadores qualificados de serviços de confiança aos quais tenha sido concedido o estatuto de qualificado ao abrigo do presente regulamento antes de 20 de maio de 2024, apresentam à entidade supervisora um relatório de avaliação da conformidade que comprove a conformidade com o artigo 24.o, n.os 1, 1-A e 1-B, o mais rapidamente possível e, em qualquer caso, até 21 de maio de 2026.»; |
52) | Os anexos I a IV são alterados, respetivamente, em conformidade com os anexos I a IV do presente regulamento; |
53) | São aditados os novos anexos V, VI e VII constantes dos anexos V, VI e VII do presente regulamento. |
Artigo 2.o Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 11 de abril de 2024.
Pelo Parlamento Europeu
A Presidente
R. METSOLA
Pelo Conselho
A Presidente
H. LAHBIB
(1) JO C 105 de 4.3.2022, p. 81.
(2) JO C 61 de 4.2.2022, p. 42.
(3) Posição do Parlamento Europeu de 29 de fevereiro de 2024 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 26 de março de 2024.
(4) Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73).
(5) Decisão (UE) 2022/2481 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que estabelece o programa Década Digital para 2030 (JO L 323 de 19.12.2022, p. 4).
(6) JO C 23 de 23.1.2023, p. 1.
(7) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).
(8) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).
(9) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).
(10) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).
(11) Regulamento (UE) 2019/1157 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, que visa reforçar a segurança dos bilhetes de identidade dos cidadãos da União e dos títulos de residência emitidos aos cidadãos da União e seus familiares que exercem o direito à livre circulação (JO L 188 de 12.7.2019, p. 67).
(12) Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos requisitos de acessibilidade dos produtos e serviços (JO L 151 de 7.6.2019, p. 70).
(13) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972, e que revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).
(14) Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho, de 14 de setembro de 2022, relativo à disputabilidade e equidade dos mercados no setor digital e que altera as Diretivas (UE) 2019/1937 e (UE) 2020/1828 (Regulamento dos Mercados Digitais) (JO L 265 de 12.10.2022, p. 1).
(15) Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único para os serviços digitais e que altera a Diretiva 2000/31/CE (Regulamento dos Serviços Digitais) (JO L 277 de 27.10.2022, p. 1).
(16) Recomendação (UE) 2021/946 da Comissão, de 3 de junho de 2021, relativa a um conjunto de instrumentos comuns a nível da União para uma abordagem coordenada do quadro europeu para a identidade digital (JO L 210 de 14.6.2021, p. 51).
ANEXO I No anexo I do Regulamento (UE) n.o 910/2014, a alínea i) passa a ter a seguinte redação:
«i) | A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;». |
ANEXO II No anexo II do Regulamento (UE) n.o 910/2014, são suprimidos os pontos 3 e 4.
ANEXO III No Anexo III do Regulamento (UE) n.o 910/2014, a alínea i) passa a ter a seguinte redação:
«i) | A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;». |
ANEXO IV O anexo IV do Regulamento (UE) n.o 910/2014 é alterado do seguinte modo:
1) | A alínea c) passa a ter a seguinte redação: «c) Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido; caso seja utilizado um pseudónimo, este deve ser claramente indicado como tal; c-A) Para as pessoas coletivas: um conjunto único de dados que representem inequivocamente a pessoa coletiva à qual o certificado é emitido, com, pelo menos o nome da pessoa coletiva à qual o certificado é emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;»; |
2) | A alínea j) passa a ter a seguinte redação: «j) A informação ou a localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir da validade do certificado qualificado.». |
«ANEXO V REQUISITOS APLICÁVEIS AOS CERTIFICADOS ELETRÓNICOS QUALIFICADOS DE ATRIBUTOS
Os certificados eletrónicos qualificados de atributos contêm:
a) | Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado eletrónico qualificado de atributos; |
b) | Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados eletrónicos qualificados de atributos, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e: i) para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais, ii) para as pessoas singulares: o nome da pessoa; |
c) | Um conjunto de dados que representem inequivocamente a entidade à qual os atributos certificados se referem; caso seja utilizado um pseudónimo, este deve ser claramente indicado como tal; |
d) | O ou os atributos certificados, incluindo, se for caso disso, as informações necessárias para identificar o âmbito desses atributos; |
e) | A indicação do início e do termo da validade do certificado; |
f) | O código de identificação do certificado, que deve ser único para o prestador qualificado de serviços de confiança e, se aplicável, a indicação do sistema de certificação de que o certificado de atributos faz parte; |
g) | A assinatura eletrónica qualificada ou o selo eletrónico qualificado do prestador qualificado de serviços de confiança emitente; |
h) | O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica qualificada ou o selo eletrónico qualificado a que se refere a alínea g); |
i) | A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado.». |
ANEXO VI «ANEXO VI LISTA MÍNIMA DE ATRIBUTOS
Em conformidade com o artigo 45.o-E, os Estados-Membros asseguram que sejam tomadas medidas que permitam aos prestadores qualificados de serviços de confiança de certificados eletrónicos de atributos verificar por via eletrónica, a pedido do utente, a autenticidade dos seguintes atributos, por confronto com a fonte autêntica pertinente a nível nacional ou através de intermediários designados reconhecidos a nível nacional, em conformidade com o direito nacional ou da União, e caso esses atributos se baseiem em fontes autênticas do setor público:
1. | Endereço; |
2. | Idade; |
3. | Género; |
4. | Estado civil; |
5. | Composição do agregado familiar; |
6. | Nacionalidade ou cidadania; |
7. | Habilitações literárias, títulos e licenças; |
8. | Qualificações profissionais, títulos e licenças; |
9. | Poderes e mandatos para representar pessoas singulares ou coletivas; |
10. | Autorizações e licenças públicas; |
11. | Para as pessoas coletivas, dados financeiros e das empresas.». |
«ANEXO VII REQUISITOS PARA O CERTIFICADO ELETRÓNICO DE ATRIBUTOS EMITIDO POR UM ORGANISMO DO SETOR PÚBLICO RESPONSÁVEL POR UMA FONTE AUTÊNTICA OU EM SEU NOME
Um certificado eletrónico de atributos emitido por um organismo público responsável por uma fonte autêntica ou em seu nome contém:
a) | Uma indicação, pelo menos numa forma adequada ao tratamento automático, de que o certificado foi emitido sob a forma de certificado eletrónico de atributos, emitido por um organismo público responsável por uma fonte autêntica ou em seu nome; |
b) | Um conjunto de dados que representem inequivocamente o organismo público que emite o certificado eletrónico de atributos, incluindo, pelo menos, o Estado-Membro em que esse organismo público está estabelecido e o seu nome e, se for caso disso, o seu número de registo, tal como indicado nos registos oficiais; |
c) | Um conjunto de dados que representem inequivocamente a entidade a que os atributos certificados se referem; caso seja utilizado um pseudónimo, este deve ser claramente indicado como tal; |
d) | O atributo ou os atributos certificados, incluindo, se for caso disso, as informações necessárias para identificar o âmbito desses atributos; |
e) | A indicação do início e do termo da validade do certificado; |
f) | O código de identificação do certificado, que deve ser único para o organismo público emitente e, se aplicável, uma indicação do sistema de certificação do qual o certificado de atributos faz parte; |
g) | A assinatura eletrónica qualificada ou o selo eletrónico qualificado do organismo emitente; |
h) | O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica qualificada ou o selo eletrónico qualificado a que se refere a alínea g); |
i) | A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado.». |
Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho, de 11 de abril de 2024, que altera o Regulamento (UE) n.º 910/2014 no que diz respeito ao estabelecimento do Quadro Europeu da Identidade Digital
ISSN 1977-0774 (electronic edition)
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.