Publicada hoje, 28 de agosto de 2014, a nova regulamentação para assinatura digital e temas conexos para a comunidade europeia que revogará a antiga diretiva de 1999.
Regulamento EU no 910/2014 do parlamento europeu e do conselho de 23 de julho de 2014
Relativo à identificação eletrônica e aos serviços de confiança para as transações eletrônicas no mercado interno e que revoga a diretiva 1999/93/ce
O parlamento europeu e o conselho da união europeia tendo em conta o tratado sobre o funcionamento da união europeia, nomeadamente o artigo 114.o.
Por Renato Martini
Tendo em conta a proposta da Comissão Europeia após transmissão do projeto de ato legislativo aos parlamentos nacionais, tendo em conta o parecer do Comité Econômico e Social Europeu (1), Deliberando nos termos do processo legislativo ordinário (2), Considerando o seguinte:
(1) Criar confiança no ambiente em linha é fundamental para o desenvolvimento econômico e social. A falta de confiança, nomeadamente devido à percepção de incerteza jurídica, leva os consumidores, as empresas e as autoridades públicas a hesitarem em realizar transações por via eletrônica e em adotar novos serviços.
(2) O presente regulamento pretende reforçar a confiança nas transações eletrônicas no mercado interno criando uma base comum para a realização de interações eletrônicas em condições seguras entre os cidadãos, as empresas e as autoridades públicas, aumentando assim a eficácia dos serviços públicos e privados em linha, os negócios eletrônicos e o comércio eletrônico na União.
(3) A Diretiva 1999/93/CE do Parlamento Europeu e do Conselho (3) trata das assinaturas eletrônicas sem oferecer um quadro transfronteiriço e transetorial geral que garantisse a segurança, a fiabilidade e a facilidade de realizações das transações eletrônicas. O presente regulamento melhora e desenvolve as disposições daquela diretiva.
(4) A comunicação da Comissão, de 26 de agosto de 2010, intitulada «Agenda Digital para a Europa», apontou a fragmentação do mercado digital, a falta de interoperabilidade e o aumento da cibercriminalidade como os principais obstáculos ao ciclo virtuoso da economia digital. No seu Relatório de 2010 sobre a Cidadania da União, com o título «Eliminar os obstáculos ao exercício dos direitos dos cidadãos da UE», a Comissão sublinhou ainda a necessidade de resolver os principais problemas que impedem os cidadãos da União de colher os benefícios do mercado único digital e dos serviços digitais transfronteiriços.
(5) Nas suas conclusões de 4 de fevereiro de 2011 e de 23 de outubro de 2011, o Conselho Europeu convidou a Comissão a criar um mercado único digital até 2015, a avançar rapidamente em áreas fundamentais da economia digital e a promover um mercado único digital completamente integrado, facilitando para isso a utilização transfronteiriça dos serviços em linha e, em particular, a identificação e a autenticação eletrônicas em condições seguras.
(6) Nas suas conclusões de 27 de maio de 2011, o Conselho convidou a Comissão a contribuir para o mercado único digital criando as condições necessárias para o reconhecimento mútuo transfronteiriço de tecnologias facilitadoras fundamentais, como a identificação eletrônica, os documentos eletrônicos, as assinaturas eletrônicas e os serviços de entrega eletrônica, e para a implantação de serviços de administração pública em linha interoperáveis em toda a União Europeia.
(7) O Parlamento Europeu, na sua resolução de 21 de setembro de 2010 sobre a realização do mercado interno do comércio eletrônico (4), realçou a importância da segurança dos serviços eletrônicos — em especial, os de assinaturas eletrônicas — e a necessidade de criar uma infraestrutura de chave pública a nível pan-europeu e instou a Comissão a criar um portal europeu para as autoridades de validação, a fim de assegurar a interoperabilidade transfronteiriça das assinaturas eletrônicas e aumentar a segurança das transações efetuadas através da Internet.
(8) A Diretiva 2006/123/CE do Parlamento Europeu e do Conselho (5) exige que os Estados-Membros criem «balcões únicos» para garantir que todas as formalidades e procedimentos relativos ao acesso às atividades de prestação de serviços e ao seu exercício possam ser facilmente cumpridos, à distância e por meios eletrônicos, por intermédio do balcão único e com as autoridades competentes. Muitos dos serviços em linha acessíveis através dos balcões únicos exigem a identificação, autenticação e assinatura eletrônica.
(9) Na maioria dos casos, os cidadãos não podem utilizar a sua identificação eletrônica para procederem à autenticação noutro Estado-Membro porque os sistemas nacionais de identificação eletrônica do seu país não são reconhecidos noutros Estados-Membros. Este obstáculo de cariz eletrônico impede os prestadores de serviços de tirarem pleno partido das vantagens do mercado interno. A existência de meios de identificação eletrônica mutuamente reconhecidos facilitará a prestação de numerosos serviços no mercado interno a nível transfronteiriço e permitirá que as empresas desenvolvam as suas atividades numa base transfronteiriça sem encontrarem muitos obstáculos nas suas interações com as autoridades públicas.
(10) A Diretiva 2011/24/UE do Parlamento Europeu e do Conselho (6) institui uma rede de autoridades nacionais responsáveis pela saúde em linha. Para reforçar a segurança e a continuidade dos cuidados de saúde transfronteiriços, esta rede deve estabelecer orientações sobre o acesso aos dados e serviços eletrônicos de saúde além-fronteiras, nomeadamente apoiando «medidas comuns de identificação e autenticação destinadas a facilitar a transferência dos dados no âmbito de cuidados de saúde transfronteiriços». O reconhecimento mútuo da identificação e autenticação eletrônicas é fundamental para tornar a prestação de cuidados de saúde aos cidadãos europeus a nível transnacional uma realidade. Quando as pessoas se deslocam a outro país para receberem tratamento, é necessário que os seus dados médicos estejam acessíveis nesse país. Para isso, é indispensável que exista um quadro sólido, seguro e de confiança para a identificação eletrônica.
(11) O presente regulamento deverá ser aplicado no pleno cumprimento dos princípios relativos à proteção de dados pessoais, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (7). Nesta matéria, tendo em conta o princípio de reconhecimento mútuo estabelecido pelo presente regulamento, a autenticação para acesso a um serviço em linha deverá dizer respeito ao tratamento apenas dos dados de identificação que sejam adequados, pertinentes e não excessivos para conceder acesso ao serviço em linha em causa. Além disso, os requisitos previstos na Diretiva 95/46/CE em matéria de confidencialidade e segurança do tratamento dos dados deverão ser respeitados pelos prestadores de serviços de confiança e pelas entidades supervisoras.
(12) Um dos objetivos do presente regulamento é eliminar os obstáculos existentes à utilização transnacional dos meios de identificação eletrônica utilizados nos Estados-Membros para a autenticação para, pelo menos, os serviços públicos. O presente regulamento não visa intervir em matéria de sistemas de gestão da identidade eletrônica e infraestruturas conexas existentes nos Estados-Membros. O seu objetivo é garantir que, para aceder aos serviços em linha transfronteiriços oferecidos pelos Estados-Membros, seja possível utilizar com segurança a identificação e autenticação eletrônicas.
(13) Os Estados-Membros deverão continuar a ter a liberdade de utilizar ou de introduzir, para fins de identificação eletrônica, meios de acesso aos serviços em linha. Deverão igualmente poder decidir envolver ou não o setor privado na disponibilização desses meios. Os Estados-Membros não deverão ser obrigados a notificar os seus sistemas de identificação eletrônica à Comissão. A decisão de notificar à Comissão todos, alguns ou nenhum dos sistemas de identificação eletrônica utilizados a nível nacional para aceder, pelo menos, aos serviços públicos ou a serviços específicos em linha compete aos Estados-Membros.
(14) Há que estabelecer no regulamento algumas condições respeitantes aos meios de identificação eletrônica que têm imperativamente de ser reconhecidos e ao modo como os sistemas de identificação eletrônica deverão ser notificados. Tais condições deverão ajudar os Estados-Membros a ganhar a confiança necessária nos respetivos sistemas de identificação eletrônica e a reconhecer mutuamente os meios de identificação eletrônica previstos nos seus sistemas notificados. O princípio do reconhecimento mútuo deverá aplicar-se se o sistema de identificação eletrônica do Estado-Membro notificante satisfizer as condições de notificação e se a notificação tiver sido publicada no Jornal Oficial da União Europeia. Contudo, o princípio só deverá dizer respeito à autenticação para acesso a um serviço em linha. O acesso a esses serviços em linha e a sua prestação final ao requerente deverão estar estreitamente ligados ao direito a beneficiar de tais serviços nas condições estabelecidas pela legislação nacional.
(15) A obrigação de reconhecer meios de identificação eletrônica deverá referir-se apenas aos meios cujo nível de garantia de identidade corresponder a um nível igual ou superior ao nível exigido pelo serviço em linha em causa. Além disso, essa obrigação só se deverá aplicar se o organismo público em causa exigir o nível de garantia «substancial» ou «elevado» para conceder acesso ao referido serviço em linha. Nos termos da legislação da União, os Estados-Membros deverão continuar a ter a liberdade de reconhecer meios de identificação eletrônica com níveis de garantia de identidade mais baixos.
(16) Os níveis de garantia deverão caracterizar o nível de confiança de um meio de identificação eletrônica na determinação da identidade de uma pessoa, garantindo assim que quem declara ter determinada identidade é de facto a pessoa a quem essa identidade foi atribuída. O nível de garantia depende do nível de confiança que os meios de identificação eletrônica conferem a respeito da identidade declarada ou reivindicada por uma pessoa tendo em conta os processos (por exemplo, prova e verificação da identidade e autenticação), as atividades de gestão (por exemplo, a entidade que produz os meios de identificação eletrônica e o procedimento para produzir esses meios) e os controlos técnicos aplicados. Existem diversas definições técnicas e descrições dos níveis de garantia resultantes de projetos-piloto de grande escala financiados a nível da União, da normalização e das atividades internacionais. Em particular, o projeto de grande escala STORK e a norma ISO 29115 referem, entre outras coisas, os níveis 2, 3 e 4, que deverão ser tidos na máxima conta ao estabelecer os requisitos técnicos mínimos, as normas e os procedimentos para os níveis de garantia reduzido, substancial e elevado, na aceção do presente regulamento, garantindo simultaneamente a aplicação coerente do presente regulamento, nomeadamente em relação ao nível de garantia elevado de prova da identidade para a emissão de certificados qualificados. Os requisitos criados deverão ser tecnologicamente neutros. Deverá ser possível satisfazer os requisitos de segurança necessários por meio de diferentes tecnologias.
(17) Os Estados-Membros deverão incentivar o setor privado a utilizar voluntariamente meios de identificação eletrônica que integrem um sistema notificado para fins de identificação, sempre que isso seja necessário para aceder a serviços em linha ou efetuar transações eletrônicas. A possibilidade de utilizar esses meios de identificação eletrônica permitirá que o setor privado recorra à identificação e à autenticação eletrônicas já amplamente utilizadas em muitos Estados-Membros, pelo menos para os serviços públicos, e que seja mais fácil às empresas e aos cidadãos acederem aos seus serviços em linha noutros países. Para facilitar a utilização desses meios de identificação eletrônica a nível transfronteiriço pelo setor privado, a possibilidade de autenticação oferecida por qualquer Estado-Membro deverá estar ao dispor dos utilizadores do setor privado estabelecidos fora do território desse Estado-Membro, nas mesmas condições que se aplicam aos utilizadores do setor privado nele estabelecidas. Por conseguinte, relativamente aos utilizadores do setor privado, o Estado-Membro notificante poderá definir termos de acesso aos meios de autenticação. Esses termos de acesso poderão determinar que os meios de autenticação associados ao sistema notificado não estejam de momento ao dispor dos utilizadores do setor privado.
(18) O presente regulamento deverá prever que o Estado-Membro notificante, a parte que produz os meios de identificação eletrônica e a parte que executa o procedimento de autenticação respondam pelo incumprimento das obrigações nele previstas. Contudo, o presente regulamento deverá ser aplicado em conformidade com as disposições nacionais sobre responsabilidade. Desta forma, o presente regulamento não afeta essas disposições nacionais em matéria, por exemplo, de definição dos danos ou de normas processuais aplicáveis, incluindo as que regem o ónus da prova.
(19) A segurança dos sistemas de identificação eletrônica é fundamental para a fiabilidade do reconhecimento mútuo transfronteiriço de meios de identificação eletrônica. Neste contexto, os Estados-Membros deverão cooperar em matéria de segurança e interoperabilidade dos sistemas de identificação eletrônica ao nível da União. Quando os sistemas de identificação eletrônica exijam que os utilizadores usem hardware ou software específicos ao nível nacional, a interoperabilidade transfronteiriça exige que tais Estados-Membros prescindam de impor tais requisitos e custos conexos aos utilizadores estabelecidos fora do seu território. Nesse caso, deverão ser debatidas e desenvolvidas as soluções que forem mais adequadas no quadro da interoperabilidade. Contudo, são inevitáveis os requisitos técnicos que decorrem das especificações inerentes aos meios nacionais de identificação eletrônica e que podem afetar os detentores desses meios eletrônicos [por exemplo, cartões inteligentes (smartcards)].
(20) A cooperação entre os Estados-Membros deverá ter por objetivo facilitar a interoperabilidade técnica dos sistemas de identificação eletrônica notificados, a fim de criar um nível elevado de confiança e segurança, adequado ao grau de risco. A troca de informações e a partilha das melhores práticas entre os Estados-Membros tendo em vista o seu reconhecimento mútuo deverão facilitar essa cooperação.
(21) O presente regulamento deverá igualmente estabelecer um quadro legal geral para a utilização dos serviços de confiança. Contudo, não deverá criar uma obrigação geral de utilização dos mesmos nem de instalação de um ponto de acesso para todos os serviços de confiança existentes. Designadamente, não deverá abranger a prestação de serviços utilizados exclusivamente dentro de sistemas fechados entre um grupo determinado de participantes, sem consequências para terceiros. Por exemplo, os sistemas que sejam criados em empresas ou administrações públicas para a gestão de procedimentos internos e que recorram a serviços de confiança não deverão ficar sujeitos aos requisitos do presente regulamento. Apenas os serviços de confiança prestados ao público com consequências para terceiros deverão cumprir os requisitos estabelecidos no presente regulamento. O presente regulamento também não deverá abranger os aspetos relacionados com a celebração e a validade de contratos ou outras obrigações legais quando estes estabeleçam requisitos de caráter formal previstos na legislação nacional ou da União. Além disso, ele não deverá afetar os requisitos nacionais de forma aplicáveis aos registos públicos, em particular, registos comerciais e prediais.
(22) A fim de contribuir para a sua utilização transfronteiriça generalizada„ deverá ser possível utilizar os serviços de confiança como prova em justiça em todos os Estados-Membros. Os efeitos legais dos serviços de confiança deverão ser definidos pelo direito nacional, salvo disposição em contrário do presente regulamento.
(23) Na medida em que o presente regulamento cria uma obrigação de reconhecer um serviço de confiança, este só pode deixar de ser reconhecido se o destinatário da obrigação não o puder ler ou verificar por motivos técnicos que escapem ao controlo direto do destinatário. Contudo, essa obrigação não exige, em si mesma, que os organismos públicos adquiram o hardware e software necessários para a legibilidade técnica de todos os serviços de confiança existentes.
(24) Os Estados-Membros podem manter ou criar, em conformidade com o direito da União, disposições nacionais em matéria de serviços de confiança, na medida em que esses serviços não se encontrem totalmente harmonizados pelo presente regulamento. Contudo, os serviços de confiança que cumpram o presente regulamento deverão gozar da liberdade de circulação no mercado interno.
(25) Os Estados-Membros deverão continuar a ser livres de definir outros tipos de serviços de confiança para além dos que constam da lista exaustiva de serviços de confiança prevista no presente regulamento, tendo em vista o seu reconhecimento a nível nacional como serviços de confiança qualificados.
(26) Tendo em consideração o ritmo da evolução tecnológica, o presente regulamento deve adotar uma abordagem aberta às inovações.
(27) O presente regulamento deverá ser tecnologicamente neutro. Os efeitos legais que o presente regulamento produz deverão poder ser obtidos por qualquer meio técnico, desde que os requisitos do regulamento sejam cumpridos.
(28) Para aumentar, em particular, a confiança das pequenas e médias empresas (PME) e dos consumidores no mercado interno e promover a utilização de serviços e produtos de confiança, deverão ser introduzidas as noções de serviço de confiança qualificado e de prestador qualificado de serviços de confiança, tendo em vista indicar os requisitos e obrigações que asseguram um nível elevado de segurança em todos os serviços e produtos de confiança qualificados que sejam utilizados ou fornecidos.
(29) Em consonância com as obrigações previstas na Convenção das Nações Unidas sobre os direitos das pessoas com deficiência, aprovada pela Decisão 2010/48/CE do Conselho (8), nomeadamente no artigo 9.o da Convenção, as pessoas com deficiência deverão poder utilizar os serviços de confiança oferecidos e os produtos de utilizador final utilizados nesses serviços em condições iguais às dos outros consumidores. Como tal, se for exequível, os serviços de confiança prestados e os produtos de utilizador final utilizados na prestação desses serviços deverão ser acessíveis às pessoas com deficiência. A avaliação da exequibilidade deverá, entre outras coisas, atender a considerações de ordem técnica e económica.
(30) Os Estados-Membros deverão designar uma ou mais entidades supervisoras, para realizar as atividades de supervisão previstas no presente regulamento. Os Estados-Membros deverão também poder decidir, por acordo mútuo com outro Estado-Membro, designar uma entidade supervisora no território desse outro Estado-Membro.
(31) As entidades supervisoras deverão cooperar com as autoridades de proteção de dados, por exemplo, informando-as dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais. O fornecimento de informações deverá, nomeadamente, abranger os incidentes de segurança e as violações dos dados pessoais.
(32) Todos os prestadores de serviços de confiança deverão aplicar boas práticas de segurança, adequadas aos riscos inerentes às suas atividades, de modo a reforçar a confiança dos utilizadores no mercado único.
(33) As disposições relativas à utilização de pseudônimos nos certificados não deverão impedir os Estados-Membros de exigir a identificação das pessoas nos termos da legislação nacional ou da União.
(34) Todos os Estados-Membros deverão cumprir requisitos essenciais comuns em matéria de supervisão, a fim de garantir um nível de segurança comparável dos serviços de confiança qualificados. Para facilitar a aplicação coerente de tais requisitos em toda a União, os Estados-Membros deverão adotar procedimentos comparáveis e trocar informações sobre as suas atividades de supervisão e as melhores práticas neste domínio.
(35) Todos os prestadores de serviços de confiança deverão ficar sujeitos aos requisitos do presente regulamento, nomeadamente aos que dizem respeito à segurança e à responsabilidade para garantir a devida diligência, a transparência e a responsabilização das suas operações e serviços. Contudo, tendo em conta o tipo de serviços por eles prestados, é necessário distinguir entre prestadores qualificados e não qualificados de serviços de confiança relativamente a esses requisitos.
(36) A criação de um regime de supervisão para todos os prestadores de serviços de confiança deverá garantir condições de igualdade no que respeita à segurança e à responsabilização no quadro das suas operações e serviços, contribuindo desta forma para a proteção dos utilizadores e para o funcionamento do mercado interno. Os prestadores não qualificados de serviços de confiança deverão ser sujeitos a uma supervisão ligeira e reativa realizada, a posteriori e justificada pela natureza dos seus serviços e operações. Por esse motivo, a entidade supervisora não deverá ter a obrigação geral de supervisionar prestadores de serviços não qualificados. A entidade supervisora só deverá tomar medidas quando for informada (por exemplo, pelo próprio prestador não qualificado de serviços de confiança, por outra entidade supervisora, por notificação de um utilizador ou parceiro comercial, ou com base na sua própria investigação) de que determinado prestador de serviços não qualificado não preenche os requisitos do presente regulamento.
(37) O presente regulamento deverá prever a responsabilidade de todos os prestadores de serviços de confiança. Em particular, cria um regime de responsabilidade nos termos do qual todos os prestadores de serviços de confiança respondem pelos danos causados a todas as pessoas singulares ou coletivas por incumprimento das obrigações previstas no presente regulamento. Para facilitar a avaliação do risco financeiro em que os prestadores de serviços de confiança possam incorrer ou que devam cobrir mediante seguro, o presente regulamento permite que, em determinadas condições, os prestadores de serviços de confiança definam limites à utilização dos serviços prestados e que não respondam por danos decorrentes da utilização dos serviços que excedam esses limites. Os clientes deverão ser prévia e devidamente informados dos referidos limites. Estes deverão ser identificáveis por terceiros, por exemplo, fornecendo informações sobre os limites nos termos e condições do serviço prestado ou recorrendo a outros meios identificáveis. Para tornar estes princípios efetivos, o presente regulamento deverá ser aplicado em conformidade com as regras nacionais em matéria de responsabilidade. Como tal, o presente regulamento não afeta, por exemplo, essas regras nacionais relativas, por exemplo, à definição dos danos, à intenção, à negligência ou às normas processuais aplicáveis.
(38) A notificação das violações da segurança e das avaliações dos riscos para a segurança é essencial para que sejam fornecidas as necessárias informações às partes interessadas em caso de violação da segurança ou de perda de integridade.
(39) Para que a Comissão e os Estados-Membros possam avaliar a eficácia do mecanismo de notificação das violações da segurança instaurado pelo presente regulamento, deverá exigir-se às entidades supervisoras que forneçam informações sucintas à Comissão e à Agência da União Europeia para a Segurança das Redes e da Informação (ENISA).
(40) Para que a Comissão e os Estados-Membros possam avaliar a eficácia do mecanismo de reforço da supervisão instaurado pelo presente regulamento, deverá exigir-se às entidades supervisoras que façam relatório das suas atividades. Essa obrigação será fundamental para facilitar o intercâmbio de boas práticas entre as entidades supervisoras e garantirá a verificação da aplicação coerente e eficiente dos requisitos essenciais da supervisão em todos os Estados-Membros.
(41) Para garantir a sustentabilidade e a durabilidade dos serviços de confiança qualificados e promover a confiança dos utilizadores na sua continuidade, as entidades supervisoras deverão verificar a existência e correta aplicação de disposições sobre os planos de cessação de atividade quando os prestadores qualificados de serviços de confiança deixem de a exercer.
(42) Para facilitar a fiscalização dos prestadores qualificados de serviços de confiança, por exemplo no caso de prestação de serviços no território de outro Estado-Membro, onde o prestador não está sujeito a supervisão, ou no caso de os computadores do prestador estarem localizados no território de um Estado-Membro diferente daquele em que se encontra estabelecido, deverá ser criado um sistema de assistência mútua entre as entidades supervisoras dos Estados-Membros.
(43) Para verificar que os prestadores qualificados de serviços de confiança e os serviços qualificados por eles prestados cumprem os requisitos do regulamento, deverão ser realizadas avaliações de conformidade por um organismo de avaliação da conformidade e os relatórios da avaliação da conformidade daí resultantes ser submetidos à entidade supervisora pelos prestadores qualificados de serviços de confiança. Quando a entidade supervisora exigir que um prestador qualificado de serviços de confiança apresente um relatório ad hoc de avaliação da conformidade, a entidade supervisora deverá respeitar, nomeadamente, o princípio da boa administração, inclusive a obrigação de fundamentar as suas decisões, e o princípio da proporcionalidade. Como tal, a entidade supervisora deverá fundamentar devidamente a sua decisão de exigir uma avaliação ad hoc da conformidade.
(44) O presente regulamento tem como objetivo garantir um quadro coerente que assegure um elevado nível de segurança e certeza jurídica relativamente aos serviços de confiança. Neste contexto, relativamente à avaliação da conformidade de produtos e serviços a Comissão deverá, se necessário, procurar sinergias com sistemas existentes e pertinentes, europeus e internacionais, como o Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (9), que estabelece os requisitos de acreditação dos organismos de avaliação da conformidade e fiscalização do mercado de produtos.
(45) Para permitir que haja um processo de iniciação eficaz, pelo qual os prestadores qualificados de serviços de confiança e os serviços de confiança qualificados por eles prestados sejam inscritos em listas de confiança, convém encorajar as interações preliminares entre os futuros prestadores qualificados de serviços de confiança e a entidade supervisora competente, no intuito de facilitar as diligências necessárias para a prestação de serviços de confiança qualificados.
(46) As listas de confiança são elementos essenciais para a criação de confiança entre os operadores do mercado, uma vez que indicam o estatuto de qualificado do prestador do serviço atribuído por ocasião da fiscalização.
(47) A confiança nos serviços em linha e a respetiva conveniência são essenciais para que os utilizadores tirem pleno partido dos serviços eletrônicos e os utilizem de maneira consciente. Para esse efeito, deverá ser criada a marca de confiança «UE» para identificar os serviços de confiança qualificados prestados pelos prestadores qualificados de serviços de confiança. Esta marca de confiança «UE» para serviços de confiança qualificados distingue claramente os serviços qualificados de outros serviços de confiança, contribuindo desta forma para a transparência no mercado. A utilização de uma marca de confiança «UE» pelos prestadores qualificados de serviços de confiança deverá ser voluntária e não deverá implicar qualquer outro requisito além dos previstos no presente regulamento.
(48) Embora seja necessário um nível elevado de segurança para garantir o reconhecimento mútuo das assinaturas eletrônicas, em casos específicos, como no contexto da Decisão 2009/767/CE da Comissão (10), deverão igualmente ser aceites assinaturas eletrônicas com menor garantia de segurança.
(49) O presente regulamento deverá estabelecer o princípio segundo o qual não podem ser negados efeitos legais à assinatura eletrônica pelo facto de se apresentar sob forma eletrônica ou de não cumprir os requisitos da assinatura eletrônica qualificada. Contudo, o efeito legal das assinaturas eletrônicas nos Estados-Membros deverá ser definido pelo direito nacional, exceto no caso do requisito previsto no presente regulamento nos termos do qual a assinatura eletrônica qualificada deverá ter um efeito legal equivalente ao de uma assinatura manuscrita.
(50) Como as autoridades competentes dos Estados-Membros utilizam atualmente diferentes formatos de assinatura eletrônica avançada de documentos, é necessário garantir que pelo menos alguns formatos de assinatura eletrônica avançada possam ser tecnicamente aceites pelos Estados-Membros quando recebam documentos assinados eletronicamente. Do mesmo modo, se as autoridades competentes dos Estados-Membros utilizarem selos eletrônicos avançados, será necessário garantir a sua compatibilidade técnica com, pelo menos, alguns formatos de selo eletrônico avançado.
(51) Os dispositivos qualificados de criação de assinaturas eletrônicas deverão poder ser confiados a terceiros pelo signatário, desde que sejam aplicados mecanismos e procedimentos adequados para garantir que o signatário tenha o controlo exclusivo da utilização dos dados necessários para a criação da sua assinatura eletrônica e que a utilização do dispositivo cumpra os requisitos da assinatura eletrônica qualificada.
(52) A criação de assinaturas eletrônicas à distância, sendo o ambiente em que são criadas gerido por um prestador de serviços de confiança em nome do signatário, tende a desenvolver-se em razão das suas múltiplas vantagens económicas. No entanto, a fim de garantir que estas assinaturas eletrônicas beneficiam do mesmo reconhecimento jurídico que as assinaturas eletrônicas criadas num ambiente inteiramente gerido pelo utilizador, os prestadores de serviços de assinatura à distância deverão aplicar procedimentos de segurança, de gestão e de administração específicos e utilizar sistemas e produtos fiáveis, que incluam, nomeadamente, canais de comunicação eletrônica seguros, para garantir a fiabilidade do ambiente de criação de assinaturas eletrônicas e garantir que esse mesmo ambiente é utilizado sob a supervisão exclusiva do signatário. No caso de assinaturas eletrônicas qualificadas criadas através de dispositivos de criação das assinaturas eletrônicas à distância, deverão aplicar-se os requisitos aplicáveis aos prestadores qualificados de serviços de confiança estabelecidos no presente regulamento.
(53) A suspensão de certificados qualificados é prática operacional estabelecida dos prestadores de serviços de confiança em diversos Estados-Membros, sendo diferente da revogação e implicando a perda temporária de validade do certificado. A segurança jurídica exige que a suspensão de um certificado seja sempre indicada claramente. Para esse efeito, os prestadores de serviços de confiança deverão ser responsáveis pela clara indicação do estatuto do certificado e, se estiver suspenso, ao período exato pelo qual fica suspenso. O presente regulamento não deverá impor aos prestadores de serviços de confiança nem aos Estados-Membros o recurso à suspensão, mas prever regras de transparência quando e onde tal prática existir.
(54) A interoperabilidade e o reconhecimento transfronteiriço de certificados qualificados é um requisito prévio do reconhecimento transfronteiriço de assinaturas eletrônicas qualificadas. Como tal, os certificados qualificados não deverão estar sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no presente regulamento. Contudo, a nível nacional, deverá ser permitida a inclusão de características específicas, como identificadores únicos, nos certificados qualificados, desde que essas características específicas não prejudiquem a interoperabilidade e o reconhecimento transfronteiriço de certificados qualificados e de assinaturas eletrônicas qualificadas.
(55) A certificação de segurança informática baseada em normas internacionais (como a ISO 15408 e os métodos de avaliação e acordos de reconhecimento mútuo conexos) é um instrumento importante para verificar a segurança dos dispositivos qualificados de criação de assinaturas eletrônicas, e deverá ser promovida. Contudo, as soluções e serviços inovadores (como a assinatura móvel, a assinatura em nuvem, etc.) dependem de soluções de ordem técnica e organizativa para os dispositivos qualificados de criação de assinaturas eletrônicas, para os quais ainda não existem normas de segurança ou cuja primeira certificação de segurança informática esteja em curso. O nível de segurança desses dispositivos qualificados de criação de assinaturas eletrônicas só pode ser avaliado com recurso a processos alternativos quando ainda não existam normas de segurança ou a primeira certificação de segurança informática esteja em curso. Esses processos deverão ser comparáveis às normas de certificação de segurança informática na medida em que os seus níveis de segurança são equivalentes. Estes processos poderão ser facilitados por uma avaliação pelos pares.
(56) O presente regulamento deverá estabelecer os requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrônicas para garantir a funcionalidade das assinaturas eletrônicas avançadas. O presente regulamento não deverá abranger a totalidade da arquitetura do sistema em que esses dispositivos evoluem. Desta forma, o âmbito da certificação dos dispositivos qualificados de criação de assinaturas deverá ser limitado ao hardware e ao software do sistema utilizado para gerir e proteger os dados de criação da assinatura criados, conservados ou tratados no dispositivo de criação de assinaturas. O âmbito da obrigação de certificação, conforme referem as normas aplicáveis, deverá excluir as aplicações de criação de assinaturas.
(57) Para garantir a segurança jurídica no que respeita à validade da assinatura, é essencial especificar os componentes da assinatura eletrônica qualificada que deverão ser avaliados pelo utilizador que procede à validação. Além disso, a especificação dos requisitos aplicáveis aos prestadores qualificados de serviços de confiança que podem prestar serviços qualificados de validação a utilizadores que não desejem ou não possam efetuar eles mesmos a validação das assinaturas eletrônicas qualificadas deverá incentivar os setores público e privado a investirem em tais serviços. Ambos os setores deverão tornar a validação das assinaturas eletrônicas qualificadas fácil e conveniente para todas as partes a nível da União.
(58) Para as transações em que é exigido o selo eletrônico qualificado de uma pessoa coletiva, deverá ser igualmente aceitável a assinatura eletrônica qualificada do respetivo representante autorizado.
(59) Os selos eletrônicos deverão servir de prova da emissão de um documento eletrônico por determinada pessoa coletiva, certificando a origem e a integridade do documento.
(60) Os prestadores de serviços de confiança que emitam certificados qualificados de selo eletrônico deverão aplicar as medidas necessárias para determinar a identidade da pessoa singular que representa a pessoa coletiva à qual tenha sido fornecido certificado qualificado de selo eletrônico, se a identificação for necessária a nível nacional em ações judiciais ou administrativas.
(61) O presente regulamento deverá assegurar a preservação das informações a longo prazo, para assegurar a validade legal das assinaturas e dos selos eletrônicos durante períodos alargados e garantir que possam ser validados independentemente da evolução tecnológica futura.
(62) Para garantir a segurança dos selos temporais qualificados, o regulamento deverá exigir a utilização de um selo eletrônico avançado ou da assinatura eletrônica avançada ou de outros métodos equivalentes. É previsível que a inovação possa abrir caminho a novas tecnologias que garantam um nível de segurança equivalente para os selos temporais. Se for utilizado um método diferente do selo eletrônico avançado ou da assinatura eletrônica avançada, deverá caber ao prestador qualificado de serviços de confiança demonstrar, no relatório de avaliação da conformidade, que o método utilizado garante um nível de segurança equivalente e cumpre as obrigações estabelecidas no presente regulamento.
(63) Os documentos eletrônicos são importantes para o futuro desenvolvimento das transações eletrônicas transfronteiriças no mercado interno. O presente regulamento deverá estabelecer o princípio segundo o qual não podem ser recusados efeitos legais a um documento eletrônico pelo facto de se apresentar em formato eletrônico garantindo que que nenhuma transação eletrônica é rejeitada pelo facto de o documento se apresentar em formato eletrônico.
(64) Relativamente aos formatos das assinaturas e selos eletrônicos avançados, a Comissão deverá basear-se nas práticas, normas e disposições legislativas existentes, nomeadamente na Decisão 2011/130/UE da Comissão (11).
(65) Além de autenticarem o documento produzido pela pessoa coletiva, os selos eletrônicos podem ser utilizados para autenticar qualquer bem digital da pessoa coletiva, como um código de software ou um servidor.
(66) É essencial prever um quadro legal para facilitar o reconhecimento transfronteiriço entre os sistemas jurídicos nacionais vigentes no que diz respeito aos serviços de envio registado eletrônico. Esse quadro também pode abrir novas oportunidades aos prestadores de serviços de confiança da União para oferecerem novos serviços de envio registado eletrônico pan-europeu.
(67) Os serviços de autenticação de sítios web fornecem meios que dão aos visitantes de um sítio web a garantia de que existe uma entidade genuína e legítima responsável pelo sítio. Estes serviços contribuem para a criação de segurança e confiança na realização de negócios em linha, pois os utilizadores terão confiança nos sítios web que tenham sido autenticados. A prestação e utilização dos serviços de autenticação de sítios web são inteiramente voluntárias. Contudo, para que a autenticação de sítios web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e estimular o crescimento no mercado interno, o presente regulamento deverá estabelecer obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos prestadores e pelos serviços por eles prestados. Para esse efeito, foram tidos em conta os resultados de atuais iniciativas do setor (por exemplo, Fórum de Autoridades de Certificação/Browsers — CA/B Fórum). Além disso, o presente regulamento não deverá impedir a utilização de outros meios ou métodos para autenticar um sítio web não abrangido pelo presente regulamento, nem deverá impedir que os prestadores de países terceiros prestem os seus serviços de autenticação de sítios web a clientes na União. Todavia, em conformidade com o presente regulamento, os serviços de autenticação de sítios web de prestadores de países terceiros só deverão ser reconhecidos como qualificados se tiver sido celebrado um acordo internacional entre a União e o país de estabelecimento do prestador.
(68) A noção de «pessoa coletiva», nos termos do disposto no Tratado sobre o Funcionamento da União Europeia (TFUE) em matéria de estabelecimento, deixa aos operadores a liberdade de escolherem a forma jurídica que considerarem mais adequada para o exercício da sua atividade. Assim, entende-se por «pessoa coletiva», na aceção do TFUE, todas as entidades constituídas nos termos da lei de um Estado-Membro, ou por estas regidas, independentemente da sua forma jurídica.
(69) As instituições, órgãos, gabinetes e agências da União são incentivadas a reconhecer a identificação eletrônica e os serviços de confiança abrangidos pelo presente regulamento para efeitos de cooperação administrativa, nomeadamente tirando partido das boas práticas e dos resultados dos projetos em curso nos domínios abrangidos pelo presente regulamento.
(70) A fim de complementar com flexibilidade e rapidez certos aspetos técnicos detalhados do presente regulamento, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito aos critérios a cumprir pelas entidades responsáveis pela certificação de dispositivos qualificados de criação de assinaturas eletrônicas. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos. A Comissão, quando preparar e redigir atos delegados, deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho.
(71) A fim de garantir condições uniformes de execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão, em particular para especificar os números de referência das normas cuja utilização conferirá uma presunção de conformidade com certos requisitos estabelecidos no presente regulamento. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (12).
(72) Quando adotar atos delegados ou de execução, a Comissão deverá considerar as normas e especificações técnicas estabelecidas pelas organizações e entidades europeias e internacionais de normalização, nomeadamente o Comité Europeu de Normalização (CEN), o Instituto Europeu de Normas de Telecomunicações (ETSI), a Organização Internacional de Normalização (ISO) e a União Internacional das Telecomunicações (UIT), a fim de assegurar um nível elevado de segurança e de interoperabilidade da identificação eletrônica e dos serviços de confiança.
(73) Por razões de segurança jurídica e de clareza, a Diretiva 1999/93/CE deverá ser revogada.
(74) Para garantir segurança jurídica aos operadores do mercado que já utilizam certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE, é necessário prever um prazo suficiente para a transição. Do mesmo modo, deverão ser previstas medidas transitórias para os dispositivos seguros de criação de assinaturas, cuja conformidade tenha sido determinada nos termos da Diretiva 1999/93/CE, e para os prestadores de serviços de certificação que emitam certificados qualificados até 1 de julho de 2016. Por último, é também necessário dotar a Comissão dos meios que lhe permitam adotar os atos de execução e os atos delegados antes dessa data.
(75) As datas de aplicação fixadas no presente regulamento não afetam as obrigações que já incumbem aos Estados-Membros nos termos da legislação da União, em especial da Diretiva 2006/123/CE.
(76) Atendendo a que os objetivos do presente regulamento não podem ser suficientemente alcançados pelos Estados-Membros, mas podem, devido à dimensão da ação prevista, ser mais bem alcançados ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.
(77) A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (13) e emitiu parecer em 27 de setembro de 2012 (14),
ADOTARAM O PRESENTE REGULAMENTO:
CAPÍTULO I DISPOSIÇÕES GERAIS
Artigo 1.o Objeto
Tendo em vista assegurar o correto funcionamento do mercado interno e alcançar um nível adequado de segurança dos meios de identificação eletrônica e dos serviços de confiança, o presente regulamento:
a) Estabelece as condições em que os Estados-Membros reconhecem e aceitam os meios de identificação eletrônica para identificar pessoas singulares e coletivas no quadro de um sistema de identificação eletrônica notificado de outro Estado-Membro;
b) Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrônicas; e
c) Institui um quadro legal para as assinaturas eletrônicas, os selos eletrônicos, os selos temporais, os documentos eletrônicos, os serviços de envio registado eletrônico e os serviços de certificados para autenticação de sítios web.
Artigo 2.o Âmbito de aplicação
1- O presente regulamento aplica-se aos sistemas de identificação eletrônica notificados pelos Estados-Membros e aos prestadores de serviços de confiança estabelecidos na União.
2- O presente regulamento não se aplica à oferta de serviços de confiança utilizados exclusivamente dentro de sistemas fechados que decorram da legislação nacional ou de acordos entre um grupo definido de participantes.
3 – O presente regulamento não prejudica as disposições legislativas nacionais ou da União em matéria de celebração e validade de contratos nem outras obrigações legais ou de natureza processual relativas à forma.
Artigo 3.o Definições
Para efeitos do presente regulamento, entende-se por:
1) «Identificação eletrônica»: o processo de utilização dos dados de identificação pessoal em formato eletrônico que representam de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa coletiva;
2) «Meio de identificação eletrônica»: uma unidade material e/ou imaterial que contenha os dados de identificação pessoal e que seja utilizada para autenticação de um serviço em linha;
3) «Dados de identificação pessoal»: um conjunto de dados que permitam determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente uma pessoa coletiva;
4) «Sistema de identificação eletrônica»: um sistema de identificação eletrônica ao abrigo do qual sejam produzidos meios de identificação eletrônica para as pessoas singulares ou coletivas, ou para as pessoas singulares que representem pessoas coletivas;
5) «Autenticação»: o processo eletrônico que permite a identificação eletrônica de uma pessoa singular ou coletiva ou da origem e integridade de um dado em formato eletrônico a confirmar;
6) «Utilizador»: a pessoa singular ou coletiva que utiliza a identificação eletrônica ou o serviço de confiança;
7) «Organismo público»: uma entidade estatal nacional, regional ou local, um organismo de direito público ou uma associação formada por uma ou mais dessas entidades ou por um ou mais organismos de direito público, ou uma entidade privada mandada por, pelo menos, uma dessas autoridades, organismos ou associações como sendo de interesse público, ao abrigo de tal mandato;
8) «Organismo de direito público»: o organismo definido no artigo 2.o, n.o 1, ponto 4), da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (15);
9) «Signatário»: a pessoa singular que cria uma assinatura eletrônica;
10) «Assinatura eletrônica»: os dados em formato eletrônico que se ligam ou estão logicamente associados a outros dados em formato eletrônico e que sejam utilizados pelo signatário para assinar;
11) «Assinatura eletrônica avançada»: uma assinatura eletrônica que obedeça aos requisitos estabelecidos no artigo 26.o;
12) «Assinatura eletrônica qualificada»: uma assinatura eletrônica avançada criada por um dispositivo qualificado de criação de assinaturas eletrônicas e que se baseie num certificado qualificado de assinatura eletrônica;
13) «Dados para a criação de uma assinatura eletrônica»: o conjunto único de dados que é utilizado pelo signatário para criar uma assinatura eletrônica;
14) «Certificado de assinatura eletrônica»: um atestado eletrônico que associa os dados de validação da assinatura eletrônica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudônimo;
15) «Certificado qualificado de assinatura eletrônica»: um certificado de assinatura eletrônica, que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;
16) «Serviço de confiança»: um serviço eletrônico geralmente prestado mediante remuneração, que consiste:
a) Na criação, verificação e validação de assinaturas eletrônicas, selos eletrônicos ou selos temporais, serviços de envio registado eletrônico e certificados relacionados com estes serviços; ou
b) Na criação, verificação e validação de certificados para a autenticação de sítios web; ou
c) Na preservação das assinaturas, selos ou certificados eletrônicos relacionados com esses serviços;
17) «Serviço de confiança qualificado»: um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no presente regulamento;
18) «Organismo de avaliação da conformidade»: o organismo definido no artigo 2.o, n.o 13, do Regulamento (CE) n.o 765/2008, que é acreditado nos termos do mesmo regulamento como sendo competente para realizar a avaliação da conformidade de prestadores qualificados de serviços de confiança e dos serviços de confiança qualificados prestados;
19) «Prestador de serviços de confiança»: a pessoa singular ou coletiva que preste um ou mais do que um serviço de confiança quer como prestador qualificado quer como prestador não qualificado de serviços de confiança;
20) «Prestador qualificado de serviços de confiança»: o prestador de serviços de confiança que preste um ou mais do que um serviço de confiança qualificado e ao qual é concedido o estatuto de qualificado pela entidade supervisora;
21) «Produto»: hardware ou software, ou componentes pertinentes de hardware ou software, que se destinem a ser utilizados para a prestação de serviços de confiança;
22) «Dispositivo de criação de assinaturas eletrônicas»: software ou hardware configurados, utilizados para criar assinaturas eletrônicas;
23) «Dispositivo qualificado de criação de assinaturas eletrônicas»: o dispositivo para a criação de assinaturas eletrônicas que cumpra os requisitos estabelecidos no anexo II;
24) «Criador de um selo»: a pessoa coletiva que cria um selo eletrônico;
25) «Selo eletrônico»: os dados em formato eletrônico apenso ou logicamente associado a outros dados em formato eletrônico para garantir a origem e a integridade destes últimos;
26) «Selo eletrônico avançado»: um selo eletrônico que obedeça aos requisitos estabelecidos no artigo 36.o:
27) «Selo eletrônico qualificado»: selo eletrônico avançado criado por um dispositivo qualificado de criação de selos eletrônicos e que se baseie num certificado qualificado de selo eletrônico;
28) «Dados para a criação de um selo eletrônico»: o conjunto único de dados que seja utilizado pelo criador do selo eletrônico para criar um selo eletrônico;
29) «Certificado de selo eletrônico»: um atestado eletrônico que associa os dados de validação do selo eletrônico a uma pessoa coletiva e confirma o seu nome;
30) «Certificado qualificado de selo eletrônico»: um certificado de selo eletrônico emitido por um prestador qualificado de serviços de confiança que satisfaça os requisitos estabelecidos no anexo III;
31) «Dispositivo de criação de selos eletrônicos»: software ou hardware configurados, utilizados para criar selos eletrônicos;
32) «Dispositivo qualificado de criação de selos eletrônicos»: um dispositivo para a criação de selos eletrônicos que satisfaça mutatis mutandis os requisitos estabelecidos no anexo II;
33) «Selos temporais»: os dados em formato eletrônico que vinculam outros dados em formato eletrônico a uma hora específica, criando uma prova de que esses outros dados existiam nesse momento;
34) «Selo temporal qualificado»: um selo temporal que satisfaça os requisitos estabelecidos no artigo 42.o;
35) «Documento eletrônico»: qualquer conteúdo armazenado em formato eletrônico, nomeadamente texto ou gravação sonora, visual ou audiovisual;
36) «Serviço de envio registado eletrônico»: um serviço que torne possível a transmissão de dados entre terceiros por meios eletrônicos e forneça prova do tratamento dos dados transmitidos, nomeadamente a prova do envio e da receção dos mesmos, e que proteja os dados transferidos contra o risco de perda, roubo, dano ou alteração não autorizada;
37) «Serviço qualificado de envio registado eletrônico»: um serviço de envio registado eletrônico que satisfaça os requisitos estabelecidos no artigo 44.o;
38) «Certificado de autenticação de sítio web»: um atestado que torne possível autenticar um sítio web e associe o sítio web à pessoa singular ou coletiva à qual o certificado tenha sido emitido;
39) «Certificado qualificado de autenticação de sítios web»: um certificado de autenticação de sítios web que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;
40) «Dados de validação»: dados que são utilizados para validar uma assinatura eletrônica ou um selo eletrônico;
41) «Validação»: o processo pelo qual é verificada e confirmada a validade de uma assinatura ou selo eletrônico.
Artigo 4.o Princípios relativos ao mercado interno
Não podem ser impostas restrições à prestação de serviços de confiança no território dos Estados-Membros por prestadores de serviços de confiança estabelecidos noutros Estados-Membros por razões que se enquadrem nos domínios abrangidos pelo presente regulamento. 2. Os produtos e serviços de confiança que cumpram o disposto no presente regulamento podem circular livremente no mercado interno.
Artigo 5.o Tratamento e proteção dos dados
O tratamento dos dados pessoais é realizado nos termos da Diretiva 95/46/CE. 2. Sem prejuízo dos efeitos legais conferidos aos pseudónimos nos termos das legislações nacionais, não é proibido utilizar pseudónimos em transações eletrônicas.
CAPÍTULO II IDENTIFICAÇÃO ELETRÔNICA
Artigo 6.o Reconhecimento mútuo
Quando, para aceder a um serviço em linha prestado por um organismo público de um Estado-Membro, seja exigida, ao abrigo da legislação ou nos termos da prática administrativa nacional, uma identificação eletrônica baseada num meio de identificação eletrônica e numa autenticação, o meio de identificação eletrônica produzido noutro Estado-Membro é reconhecido no primeiro Estado-Membro para efeitos de autenticação transfronteiriço para o referido serviço em linha, se estiverem reunidas as seguintes condições: a) O meio de identificação eletrônica ser produzido por um sistema de identificação eletrônica constante da lista publicada pela Comissão nos termos do artigo 9.o; b) O nível de garantia do meio de identificação eletrônica corresponder a um nível de garantia igual ou superior ao exigido pelo organismo público para o acesso ao serviço em linha no primeiro Estado-Membro, desde que o nível de garantia do referido meio de identificação eletrônica corresponda ao nível substancial ou elevado.
Fonte:http://renatomartini.net