O eIDAS é um regulamento da União Europeia (UE) que estabelece um conjunto de normas para a identificação eletrônica e os serviços de confiança para transações eletrônicas no mercado único europeu. O eIDAS entrou em vigor em 2016 e substituiu a Diretiva de Assinatura Eletrônica (Diretiva 1999/93/EC).
O eIDAS define três tipos de identificação eletrônica:
Identificação eletrônica simples: É a forma mais básica de identificação eletrônica. Não requer nenhuma autenticação adicional e é usada para transações de baixo risco.
Identificação eletrônica avançada: É um nível mais alto de identificação eletrônica que requer algum tipo de autenticação, como uma senha ou um token de segurança. É usada para transações de médio risco.
Identificação eletrônica qualificada: É o nível mais alto de identificação eletrônica. Requer autenticação forte, como um certificado digital qualificado. É usada para transações de alto risco.
O eIDAS também define quatro tipos de serviços de confiança:
Assinatura eletrônica: É um processo que permite que um indivíduo ou entidade assine um documento eletrônico de forma segura e verificável.
Selo eletrônico: É um processo que permite que uma organização assine um documento eletrônico de forma segura e verificável.
Marcação de tempo: É um processo que registra a data e a hora de um documento eletrônico.
Serviços de validação: São serviços que permitem verificar a validade de uma assinatura eletrônica, um selo eletrônico ou uma marcação de tempo.
O eIDAS visa facilitar o comércio eletrônico e outras transações eletrônicas na Europa. Ele fornece um conjunto de normas comuns para a identificação eletrônica e os serviços de confiança, o que torna mais fácil para as empresas e os consumidores transacionar com segurança em qualquer país da UE.
Alguns dos benefícios do eIDAS incluem:
Maior confiança: O eIDAS fornece um conjunto de normas comuns que garantem a autenticidade e a integridade das transações eletrônicas.
Eficiência: O eIDAS simplifica o processo de identificação eletrônica e dos serviços de confiança, o que torna mais fácil para as empresas e os consumidores realizar transações eletrônicas.
Redução de custos: O eIDAS reduz a necessidade de duplicar os processos de identificação eletrônica e dos serviços de confiança em diferentes países da UE.
O eIDAS é um marco importante na harmonização da identificação eletrônica e dos serviços de confiança na Europa. Ele está ajudando a criar um mercado único digital mais seguro e eficiente.
28.8.2014 | PT | Jornal Oficial da União Europeia | L 257/73
De 23 de julho de 2014
Relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE
Idioma – Português de Portugal
Sumário
- 28.8.2014 | PT | Jornal Oficial da União Europeia | L 257/73
- Relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE
- Objeto
- Âmbito de aplicação
- Definições
- Princípios relativos ao mercado interno
- Tratamento e proteção dos dados
- Reconhecimento mútuo
- Elegibilidade para notificação dos sistemas de identificação eletrónica
- Níveis de garantia dos sistemas de identificação eletrónica
- Notificação
- Violação da segurança
- Responsabilidade
- Cooperação e interoperabilidade
- Responsabilidade e ónus da prova
- Aspetos internacionais
- Acessibilidade para as pessoas com deficiência
- Sanções
- Entidade supervisora
- Assistência mútua
- Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
- Fiscalização dos prestadores qualificados de serviços de confiança
- Início de um serviço de confiança qualificado
- Listas de confiança
- Marca de confiança «UE» para serviços de confiança qualificados
- Requisitos aplicáveis aos prestadores qualificados de serviços de confiança
- Efeitos legais das assinaturas eletrónicas
- Requisitos para as assinaturas eletrónicas avançadas
- Assinaturas eletrónicas em serviços públicos
- Certificados qualificados de assinaturas eletrónicas
- Requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrónicas
- Certificação dos dispositivos qualificados de criação de assinaturas eletrónicas
- Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas
- Requisitos aplicáveis à validade das assinaturas eletrónicas qualificadas
- Serviço qualificado de validação de assinaturas eletrónicas qualificadas
- Serviço qualificado de preservação de assinaturas eletrónicas qualificadas
- Efeitos legais dos selos eletrónicos
- Requisitos para os selos eletrónicos avançados
- Selos eletrónicos em serviços públicos
- Certificados qualificados de selos eletrónicos
- Dispositivos qualificados de criação de selos eletrónicos
- Validação e preservação dos selos eletrónicos qualificados
- Efeito legal dos selos temporais
- Requisitos aplicáveis aos selos temporais qualificados
- Efeito legal dos serviços de envio registado eletrónico
- Requisitos aplicáveis aos serviços qualificados de envio registado eletrónico
- Requisitos aplicáveis aos certificados qualificados de autenticação de sítios web
- Efeitos legais dos documentos eletrónicos
- Exercício da delegação
- Procedimento de comité
- Entrada em vigor
- Revisão
- Revogação
- Medidas transitórias
No final dessa publicação há um link para o PDF do Documento Original
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.o,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu (1),
Deliberando nos termos do processo legislativo ordinário (2),
Considerando o seguinte:
- Criar confiança no ambiente em linha é fundamental para o desenvolvimento económico e social. A falta de confiança, nomeadamente devido à perceção de incerteza jurídica, leva os consumidores, as empresas e as auto ridades públicas a hesitarem em realizar transações por via eletrónica e em adotar novos serviços.
- O presente regulamento pretende reforçar a confiança nas transações eletrónicas no mercado interno criando uma base comum para a realização de interações eletrónicas em condições seguras entre os cidadãos, as empresas e as autoridades públicas, aumentando assim a eficácia dos serviços públicos e privados em linha, os negócios ele trónicos e o comércio eletrónico na União.
- A Diretiva 1999/93/CE do Parlamento Europeu e do Conselho (3) trata das assinaturas eletrónicas sem oferecer um quadro transfronteiriço e transetorial geral que garantisse a segurança, a fiabilidade e a facilidade de realizações das transações eletrónicas. O presente regulamento melhora e desenvolve as disposições daquela diretiva.
- A comunicação da Comissão, de 26 de agosto de 2010, intitulada «Agenda Digital para a Europa», apontou a fragmentação do mercado digital, a falta de interoperabilidade e o aumento da cibercriminalidade como os principais obstáculos ao ciclo virtuoso da economia digital. No seu Relatório de 2010 sobre a Cidadania da União, com o título «Eliminar os obstáculos ao exercício dos direitos dos cidadãos da UE», a Comissão sublinhou ainda a necessidade de resolver os principais problemas que impedem os cidadãos da União de colher os benefícios do mercado único digital e dos serviços digitais transfronteiriços.
- Nas suas conclusões de 4 de fevereiro de 2011 e de 23 de outubro de 2011, o Conselho Europeu convidou a Comissão a criar um mercado único digital até 2015, a avançar rapidamente em áreas fundamentais da economia digital e a promover um mercado único digital completamente integrado, facilitando para isso a utilização trans fronteiriça dos serviços em linha e, em particular, a identificação e a autenticação eletrónicas em condições seguras.
(1) JO C 351 de 15.11.2012, p. 73.
- Posição do Parlamento Europeu de 3 de abril de 2014 (ainda não publicada no Jornal Oficial) e Decisão do Conselho de 23 de julho de 2014.
- Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).
- Nas suas conclusões de 27 de maio de 2011, o Conselho convidou a Comissão a contribuir para o mercado único digital criando as condições necessárias para o reconhecimento mútuo transfronteiriço de tecnologias facilitadoras fundamentais, como a identificação eletrónica, os documentos eletrónicos, as assinaturas eletrónicas e os serviços de entrega eletrónica, e para a implantação de serviços de administração pública em linha interoperáveis em toda a União Europeia.
- O Parlamento Europeu, na sua resolução de 21 de setembro de 2010 sobre a realização do mercado interno do comércio eletrónico (1), realçou a importância da segurança dos serviços eletrónicos — em especial, os de assina turas eletrónicas — e a necessidade de criar uma infraestrutura de chave pública a nível pan-europeu e instou a Comissão a criar um portal europeu para as autoridades de validação, a fim de assegurar a interoperabilidade transfronteiriça das assinaturas eletrónicas e aumentar a segurança das transações efetuadas através da Internet.
- A Diretiva 2006/123/CE do Parlamento Europeu e do Conselho (2) exige que os Estados-Membros criem «balcões únicos» para garantir que todas as formalidades e procedimentos relativos ao acesso às atividades de prestação de serviços e ao seu exercício possam ser facilmente cumpridos, à distância e por meios eletrónicos, por intermédio do balcão único e com as autoridades competentes. Muitos dos serviços em linha acessíveis através dos balcões únicos exigem a identificação, autenticação e assinatura eletrónica.
- Na maioria dos casos, os cidadãos não podem utilizar a sua identificação eletrónica para procederem à autenticação noutro Estado-Membro porque os sistemas nacionais de identificação eletrónica do seu país não são reconhecidos noutros Estados-Membros. Este obstáculo de cariz eletrónico impede os prestadores de serviços de tirarem pleno partido das vantagens do mercado interno. A existência de meios de identificação eletrónica mutuamente reco nhecidos facilitará a prestação de numerosos serviços no mercado interno a nível transfronteiriço e permitirá que as empresas desenvolvam as suas atividades numa base transfronteiriça sem encontrarem muitos obstáculos nas suas interações com as autoridades públicas.
- A Diretiva 2011/24/UE do Parlamento Europeu e do Conselho (3) institui uma rede de autoridades nacionais responsáveis pela saúde em linha. Para reforçar a segurança e a continuidade dos cuidados de saúde transfrontei riços, esta rede deve estabelecer orientações sobre o acesso aos dados e serviços eletrónicos de saúde além-
-fronteiras, nomeadamente apoiando «medidas comuns de identificação e autenticação destinadas a facilitar a transferência dos dados no âmbito de cuidados de saúde transfronteiriços». O reconhecimento mútuo da identi ficação e autenticação eletrónicas é fundamental para tornar a prestação de cuidados de saúde aos cidadãos europeus a nível transnacional uma realidade. Quando as pessoas se deslocam a outro país para receberem tratamento, é necessário que os seus dados médicos estejam acessíveis nesse país. Para isso, é indispensável que exista um quadro sólido, seguro e de confiança para a identificação eletrónica.
- O presente regulamento deverá ser aplicado no pleno cumprimento dos princípios relativos à proteção de dados pessoais, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (4). Nesta matéria, tendo em conta o princípio de reconhecimento mútuo estabelecido pelo presente regulamento, a autenticação para acesso a um serviço em linha deverá dizer respeito ao tratamento apenas dos dados de identificação que sejam adequados, pertinentes e não excessivos para conceder acesso ao serviço em linha em causa. Além disso, os requisitos previstos na Diretiva 95/46/CE em matéria de confidencialidade e segurança do tratamento dos dados deverão ser respei tados pelos prestadores de serviços de confiança e pelas entidades supervisoras.
- Um dos objetivos do presente regulamento é eliminar os obstáculos existentes à utilização transnacional dos meios de identificação eletrónica utilizados nos Estados-Membros para a autenticação para, pelo menos, os serviços públicos. O presente regulamento não visa intervir em matéria de sistemas de gestão da identidade eletrónica e infraestruturas conexas existentes nos Estados-Membros. O seu objetivo é garantir que, para aceder aos serviços em linha transfronteiriços oferecidos pelos Estados-Membros, seja possível utilizar com segurança a identificação e autenticação eletrónicas.
(1) JO C 50 E de 21.2.2012, p. 1.
- Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).
- Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).
- Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).
- Os Estados-Membros deverão continuar a ter a liberdade de utilizar ou de introduzir, para fins de identificação eletrónica, meios de acesso aos serviços em linha. Deverão igualmente poder decidir envolver ou não o setor privado na disponibilização desses meios. Os Estados-Membros não deverão ser obrigados a notificar os seus sistemas de identificação eletrónica à Comissão. A decisão de notificar à Comissão todos, alguns ou nenhum dos sistemas de identificação eletrónica utilizados a nível nacional para aceder, pelo menos, aos serviços públicos ou a serviços específicos em linha compete aos Estados-Membros.
- Há que estabelecer no regulamento algumas condições respeitantes aos meios de identificação eletrónica que têm imperativamente de ser reconhecidos e ao modo como os sistemas de identificação eletrónica deverão ser noti ficados. Tais condições deverão ajudar os Estados-Membros a ganhar a confiança necessária nos respetivos sistemas de identificação eletrónica e a reconhecer mutuamente os meios de identificação eletrónica previstos nos seus sistemas notificados. O princípio do reconhecimento mútuo deverá aplicar-se se o sistema de identificação ele trónica do Estado-Membro notificante satisfizer as condições de notificação e se a notificação tiver sido publicada no Jornal Oficial da União Europeia. Contudo, o princípio só deverá dizer respeito à autenticação para acesso a um serviço em linha. O acesso a esses serviços em linha e a sua prestação final ao requerente deverão estar estrei tamente ligados ao direito a beneficiar de tais serviços nas condições estabelecidas pela legislação nacional.
- A obrigação de reconhecer meios de identificação eletrónica deverá referir-se apenas aos meios cujo nível de garantia de identidade corresponder a um nível igual ou superior ao nível exigido pelo serviço em linha em causa. Além disso, essa obrigação só se deverá aplicar se o organismo público em causa exigir o nível de garantia
«substancial» ou «elevado» para conceder acesso ao referido serviço em linha. Nos termos da legislação da União, os Estados-Membros deverão continuar a ter a liberdade de reconhecer meios de identificação eletrónica com níveis de garantia de identidade mais baixos.
- Os níveis de garantia deverão caracterizar o nível de confiança de um meio de identificação eletrónica na determinação da identidade de uma pessoa, garantindo assim que quem declara ter determinada identidade é de facto a pessoa a quem essa identidade foi atribuída. O nível de garantia depende do nível de confiança que os meios de identificação eletrónica conferem a respeito da identidade declarada ou reivindicada por uma pessoa tendo em conta os processos (por exemplo, prova e verificação da identidade e autenticação), as atividades de gestão (por exemplo, a entidade que produz os meios de identificação eletrónica e o procedimento para produzir esses meios) e os controlos técnicos aplicados. Existem diversas definições técnicas e descrições dos níveis de garantia resultantes de projetos-piloto de grande escala financiados a nível da União, da normalização e das atividades internacionais. Em particular, o projeto de grande escala STORK e a norma ISO 29115 referem, entre outras coisas, os níveis 2, 3 e 4, que deverão ser tidos na máxima conta ao estabelecer os requisitos técnicos mínimos, as normas e os procedimentos para os níveis de garantia reduzido, substancial e elevado, na aceção do presente regulamento, garantindo simultaneamente a aplicação coerente do presente regulamento, nomeadamente em relação ao nível de garantia elevado de prova da identidade para a emissão de certificados qualificados. Os requisitos criados deverão ser tecnologicamente neutros. Deverá ser possível satisfazer os requisitos de segurança necessários por meio de diferentes tecnologias.
- Os Estados-Membros deverão incentivar o setor privado a utilizar voluntariamente meios de identificação eletrónica que integrem um sistema notificado para fins de identificação, sempre que isso seja necessário para aceder a serviços em linha ou efetuar transações eletrónicas. A possibilidade de utilizar esses meios de identificação eletrónica permitirá que o setor privado recorra à identificação e à autenticação eletrónicas já amplamente utilizadas em muitos Estados-Membros, pelo menos para os serviços públicos, e que seja mais fácil às empresas e aos cidadãos acederem aos seus serviços em linha noutros países. Para facilitar a utilização desses meios de identificação eletrónica a nível transfronteiriço pelo setor privado, a possibilidade de autenticação oferecida por qualquer Estado-Membro deverá estar ao dispor dos utilizadores do setor privado estabelecidos fora do território desse Estado-Membro, nas mesmas condições que se aplicam aos utilizadores do setor privado nele estabelecidas. Por conseguinte, relativamente aos utilizadores do setor privado, o Estado-Membro notificante poderá definir termos de acesso aos meios de autenticação. Esses termos de acesso poderão determinar que os meios de autenticação associados ao sistema notificado não estejam de momento ao dispor dos utilizadores do setor privado.
- O presente regulamento deverá prever que o Estado-Membro notificante, a parte que produz os meios de identificação eletrónica e a parte que executa o procedimento de autenticação respondam pelo incumprimento das obrigações nele previstas. Contudo, o presente regulamento deverá ser aplicado em conformidade com as disposições nacionais sobre responsabilidade. Desta forma, o presente regulamento não afeta essas disposições nacionais em matéria, por exemplo, de definição dos danos ou de normas processuais aplicáveis, incluindo as que regem o ónus da prova.
- A segurança dos sistemas de identificação eletrónica é fundamental para a fiabilidade do reconhecimento mútuo transfronteiriço de meios de identificação eletrónica. Neste contexto, os Estados-Membros deverão cooperar em matéria de segurança e interoperabilidade dos sistemas de identificação eletrónica ao nível da União. Quando os sistemas de identificação eletrónica exijam que os utilizadores usem hardware ou software específicos ao nível nacional, a interoperabilidade transfronteiriça exige que tais Estados-Membros prescindam de impor tais requisitos e custos conexos aos utilizadores estabelecidos fora do seu território. Nesse caso, deverão ser debatidas e desen volvidas as soluções que forem mais adequadas no quadro da interoperabilidade. Contudo, são inevitáveis os requisitos técnicos que decorrem das especificações inerentes aos meios nacionais de identificação eletrónica e que podem afetar os detentores desses meios eletrónicos [por exemplo, cartões inteligentes (smartcards)].
- A cooperação entre os Estados-Membros deverá ter por objetivo facilitar a interoperabilidade técnica dos sistemas de identificação eletrónica notificados, a fim de criar um nível elevado de confiança e segurança, adequado ao grau de risco. A troca de informações e a partilha das melhores práticas entre os Estados-Membros tendo em vista o seu reconhecimento mútuo deverão facilitar essa cooperação.
- O presente regulamento deverá igualmente estabelecer um quadro legal geral para a utilização dos serviços de confiança. Contudo, não deverá criar uma obrigação geral de utilização dos mesmos nem de instalação de um ponto de acesso para todos os serviços de confiança existentes. Designadamente, não deverá abranger a prestação de serviços utilizados exclusivamente dentro de sistemas fechados entre um grupo determinado de participantes, sem consequências para terceiros. Por exemplo, os sistemas que sejam criados em empresas ou administrações públicas para a gestão de procedimentos internos e que recorram a serviços de confiança não deverão ficar sujeitos aos requisitos do presente regulamento. Apenas os serviços de confiança prestados ao público com consequências para terceiros deverão cumprir os requisitos estabelecidos no presente regulamento. O presente regulamento também não deverá abranger os aspetos relacionados com a celebração e a validade de contratos ou outras obrigações legais quando estes estabeleçam requisitos de caráter formal previstos na legislação nacional ou da União. Além disso, ele não deverá afetar os requisitos nacionais de forma aplicáveis aos registos públicos, em particular, registos comerciais e prediais.
- A fim de contribuir para a sua utilização transfronteiriça generalizada„ deverá ser possível utilizar os serviços de confiança como prova em justiça em todos os Estados-Membros. Os efeitos legais dos serviços de confiança deverão ser definidos pelo direito nacional, salvo disposição em contrário do presente regulamento.
- Na medida em que o presente regulamento cria uma obrigação de reconhecer um serviço de confiança, este só pode deixar de ser reconhecido se o destinatário da obrigação não o puder ler ou verificar por motivos técnicos que escapem ao controlo direto do destinatário. Contudo, essa obrigação não exige, em si mesma, que os organismos públicos adquiram o hardware e software necessários para a legibilidade técnica de todos os serviços de confiança existentes.
- Os Estados-Membros podem manter ou criar, em conformidade com o direito da União, disposições nacionais em matéria de serviços de confiança, na medida em que esses serviços não se encontrem totalmente harmonizados pelo presente regulamento. Contudo, os serviços de confiança que cumpram o presente regulamento deverão gozar da liberdade de circulação no mercado interno.
- Os Estados-Membros deverão continuar a ser livres de definir outros tipos de serviços de confiança para além dos que constam da lista exaustiva de serviços de confiança prevista no presente regulamento, tendo em vista o seu reconhecimento a nível nacional como serviços de confiança qualificados.
- Tendo em consideração o ritmo da evolução tecnológica, o presente regulamento deve adotar uma abordagem aberta às inovações.
- O presente regulamento deverá ser tecnologicamente neutro. Os efeitos legais que o presente regulamento produz deverão poder ser obtidos por qualquer meio técnico, desde que os requisitos do regulamento sejam cumpridos.
- Para aumentar, em particular, a confiança das pequenas e médias empresas (PME) e dos consumidores no mercado interno e promover a utilização de serviços e produtos de confiança, deverão ser introduzidas as noções de serviço de confiança qualificado e de prestador qualificado de serviços de confiança, tendo em vista indicar os requisitos e obrigações que asseguram um nível elevado de segurança em todos os serviços e produtos de confiança qualifi cados que sejam utilizados ou fornecidos.
- Em consonância com as obrigações previstas na Convenção das Nações Unidas sobre os direitos das pessoas com deficiência, aprovada pela Decisão 2010/48/CE do Conselho (1), nomeadamente no artigo 9.o da Convenção, as pessoas com deficiência deverão poder utilizar os serviços de confiança oferecidos e os produtos de utilizador final utilizados nesses serviços em condições iguais às dos outros consumidores. Como tal, se for exequível, os serviços de confiança prestados e os produtos de utilizador final utilizados na prestação desses serviços deverão ser acessíveis às pessoas com deficiência. A avaliação da exequibilidade deverá, entre outras coisas, atender a consi derações de ordem técnica e económica.
- Os Estados-Membros deverão designar uma ou mais entidades supervisoras, para realizar as atividades de super visão previstas no presente regulamento. Os Estados-Membros deverão também poder decidir, por acordo mútuo com outro Estado-Membro, designar uma entidade supervisora no território desse outro Estado-Membro.
- As entidades supervisoras deverão cooperar com as autoridades de proteção de dados, por exemplo, informando-as dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais. O fornecimento de informações deverá, nomeada mente, abranger os incidentes de segurança e as violações dos dados pessoais.
- Todos os prestadores de serviços de confiança deverão aplicar boas práticas de segurança, adequadas aos riscos inerentes às suas atividades, de modo a reforçar a confiança dos utilizadores no mercado único.
- As disposições relativas à utilização de pseudónimos nos certificados não deverão impedir os Estados-Membros de exigir a identificação das pessoas nos termos da legislação nacional ou da União.
- Todos os Estados-Membros deverão cumprir requisitos essenciais comuns em matéria de supervisão, a fim de garantir um nível de segurança comparável dos serviços de confiança qualificados. Para facilitar a aplicação coerente de tais requisitos em toda a União, os Estados-Membros deverão adotar procedimentos comparáveis e trocar informações sobre as suas atividades de supervisão e as melhores práticas neste domínio.
- Todos os prestadores de serviços de confiança deverão ficar sujeitos aos requisitos do presente regulamento, nomeadamente aos que dizem respeito à segurança e à responsabilidade para garantir a devida diligência, a transparência e a responsabilização das suas operações e serviços. Contudo, tendo em conta o tipo de serviços por eles prestados, é necessário distinguir entre prestadores qualificados e não qualificados de serviços de confiança relativamente a esses requisitos.
- A criação de um regime de supervisão para todos os prestadores de serviços de confiança deverá garantir condições de igualdade no que respeita à segurança e à responsabilização no quadro das suas operações e serviços, con tribuindo desta forma para a proteção dos utilizadores e para o funcionamento do mercado interno. Os presta dores não qualificados de serviços de confiança deverão ser sujeitos a uma supervisão ligeira e reativa realizada, a posteriori e justificada pela natureza dos seus serviços e operações. Por esse motivo, a entidade supervisora não deverá ter a obrigação geral de supervisionar prestadores de serviços não qualificados. A entidade supervisora só deverá tomar medidas quando for informada (por exemplo, pelo próprio prestador não qualificado de serviços de confiança, por outra entidade supervisora, por notificação de um utilizador ou parceiro comercial, ou com base na sua própria investigação) de que determinado prestador de serviços não qualificado não preenche os requisitos do presente regulamento.
(1) Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).
- O presente regulamento deverá prever a responsabilidade de todos os prestadores de serviços de confiança. Em particular, cria um regime de responsabilidade nos termos do qual todos os prestadores de serviços de confiança respondem pelos danos causados a todas as pessoas singulares ou coletivas por incumprimento das obrigações previstas no presente regulamento. Para facilitar a avaliação do risco financeiro em que os prestadores de serviços de confiança possam incorrer ou que devam cobrir mediante seguro, o presente regulamento permite que, em determinadas condições, os prestadores de serviços de confiança definam limites à utilização dos serviços prestados e que não respondam por danos decorrentes da utilização dos serviços que excedam esses limites. Os clientes deverão ser prévia e devidamente informados dos referidos limites. Estes deverão ser identificáveis por terceiros, por exemplo, fornecendo informações sobre os limites nos termos e condições do serviço prestado ou recorrendo a outros meios identificáveis. Para tornar estes princípios efetivos, o presente regulamento deverá ser aplicado em conformidade com as regras nacionais em matéria de responsabilidade. Como tal, o presente regulamento não afeta, por exemplo, essas regras nacionais relativas, por exemplo, à definição dos danos, à intenção, à negligência ou às normas processuais aplicáveis.
- A notificação das violações da segurança e das avaliações dos riscos para a segurança é essencial para que sejam fornecidas as necessárias informações às partes interessadas em caso de violação da segurança ou de perda de integridade.
- Para que a Comissão e os Estados-Membros possam avaliar a eficácia do mecanismo de notificação das violações da segurança instaurado pelo presente regulamento, deverá exigir-se às entidades supervisoras que forneçam informações sucintas à Comissão e à Agência da União Europeia para a Segurança das Redes e da Informação (ENISA).
- Para que a Comissão e os Estados-Membros possam avaliar a eficácia do mecanismo de reforço da supervisão instaurado pelo presente regulamento, deverá exigir-se às entidades supervisoras que façam relatório das suas atividades. Essa obrigação será fundamental para facilitar o intercâmbio de boas práticas entre as entidades supervisoras e garantirá a verificação da aplicação coerente e eficiente dos requisitos essenciais da supervisão em todos os Estados-Membros.
- Para garantir a sustentabilidade e a durabilidade dos serviços de confiança qualificados e promover a confiança dos utilizadores na sua continuidade, as entidades supervisoras deverão verificar a existência e correta aplicação de disposições sobre os planos de cessação de atividade quando os prestadores qualificados de serviços de confiança deixem de a exercer.
- Para facilitar a fiscalização dos prestadores qualificados de serviços de confiança, por exemplo no caso de prestação de serviços no território de outro Estado-Membro, onde o prestador não está sujeito a supervisão, ou no caso de os computadores do prestador estarem localizados no território de um Estado-Membro diferente daquele em que se encontra estabelecido, deverá ser criado um sistema de assistência mútua entre as entidades supervisoras dos Estados-Membros.
- Para verificar que os prestadores qualificados de serviços de confiança e os serviços qualificados por eles prestados cumprem os requisitos do regulamento, deverão ser realizadas avaliações de conformidade por um organismo de avaliação da conformidade e os relatórios da avaliação da conformidade daí resultantes ser submetidos à entidade supervisora pelos prestadores qualificados de serviços de confiança. Quando a entidade supervisora exigir que um prestador qualificado de serviços de confiança apresente um relatório ad hoc de avaliação da conformidade, a entidade supervisora deverá respeitar, nomeadamente, o princípio da boa administração, inclusive a obrigação de fundamentar as suas decisões, e o princípio da proporcionalidade. Como tal, a entidade supervisora deverá fundamentar devidamente a sua decisão de exigir uma avaliação ad hoc da conformidade.
- O presente regulamento tem como objetivo garantir um quadro coerente que assegure um elevado nível de segurança e certeza jurídica relativamente aos serviços de confiança. Neste contexto, relativamente à avaliação da conformidade de produtos e serviços a Comissão deverá, se necessário, procurar sinergias com sistemas existentes e pertinentes, europeus e internacionais, como o Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (1), que estabelece os requisitos de acreditação dos organismos de avaliação da conformi dade e fiscalização do mercado de produtos.
(1) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).
- Para permitir que haja um processo de iniciação eficaz, pelo qual os prestadores qualificados de serviços de confiança e os serviços de confiança qualificados por eles prestados sejam inscritos em listas de confiança, convém encorajar as interações preliminares entre os futuros prestadores qualificados de serviços de confiança e a entidade supervisora competente, no intuito de facilitar as diligências necessárias para a prestação de serviços de confiança qualificados.
- As listas de confiança são elementos essenciais para a criação de confiança entre os operadores do mercado, uma vez que indicam o estatuto de qualificado do prestador do serviço atribuído por ocasião da fiscalização.
- A confiança nos serviços em linha e a respetiva conveniência são essenciais para que os utilizadores tirem pleno partido dos serviços eletrónicos e os utilizem de maneira consciente. Para esse efeito, deverá ser criada a marca de confiança «UE» para identificar os serviços de confiança qualificados prestados pelos prestadores qualificados de serviços de confiança. Esta marca de confiança «UE» para serviços de confiança qualificados distingue claramente os serviços qualificados de outros serviços de confiança, contribuindo desta forma para a transparência no mercado. A utilização de uma marca de confiança «UE» pelos prestadores qualificados de serviços de confiança deverá ser voluntária e não deverá implicar qualquer outro requisito além dos previstos no presente regulamento.
- Embora seja necessário um nível elevado de segurança para garantir o reconhecimento mútuo das assinaturas eletrónicas, em casos específicos, como no contexto da Decisão 2009/767/CE da Comissão (1), deverão igualmente ser aceites assinaturas eletrónicas com menor garantia de segurança.
- O presente regulamento deverá estabelecer o princípio segundo o qual não podem ser negados efeitos legais à assinatura eletrónica pelo facto de se apresentar sob forma eletrónica ou de não cumprir os requisitos da assinatura eletrónica qualificada. Contudo, o efeito legal das assinaturas eletrónicas nos Estados-Membros deverá ser definido pelo direito nacional, exceto no caso do requisito previsto no presente regulamento nos termos do qual a assinatura eletrónica qualificada deverá ter um efeito legal equivalente ao de uma assinatura manuscrita.
- Como as autoridades competentes dos Estados-Membros utilizam atualmente diferentes formatos de assinatura eletrónica avançada de documentos, é necessário garantir que pelo menos alguns formatos de assinatura eletrónica avançada possam ser tecnicamente aceites pelos Estados-Membros quando recebam documentos assinados eletro nicamente. Do mesmo modo, se as autoridades competentes dos Estados-Membros utilizarem selos eletrónicos avançados, será necessário garantir a sua compatibilidade técnica com, pelo menos, alguns formatos de selo eletrónico avançado.
- Os dispositivos qualificados de criação de assinaturas eletrónicas deverão poder ser confiados a terceiros pelo signatário, desde que sejam aplicados mecanismos e procedimentos adequados para garantir que o signatário tenha o controlo exclusivo da utilização dos dados necessários para a criação da sua assinatura eletrónica e que a utilização do dispositivo cumpra os requisitos da assinatura eletrónica qualificada.
- A criação de assinaturas eletrónicas à distância, sendo o ambiente em que são criadas gerido por um prestador de serviços de confiança em nome do signatário, tende a desenvolver-se em razão das suas múltiplas vantagens económicas. No entanto, a fim de garantir que estas assinaturas eletrónicas beneficiam do mesmo reconhecimento jurídico que as assinaturas eletrónicas criadas num ambiente inteiramente gerido pelo utilizador, os prestadores de serviços de assinatura à distância deverão aplicar procedimentos de segurança, de gestão e de administração específicos e utilizar sistemas e produtos fiáveis, que incluam, nomeadamente, canais de comunicação eletrónica seguros, para garantir a fiabilidade do ambiente de criação de assinaturas eletrónicas e garantir que esse mesmo ambiente é utilizado sob a supervisão exclusiva do signatário. No caso de assinaturas eletrónicas qualificadas criadas através de dispositivos de criação das assinaturas eletrónicas à distância, deverão aplicar-se os requisitos aplicáveis aos prestadores qualificados de serviços de confiança estabelecidos no presente regulamento.
(1) Decisão 2009/767/CE da Comissão, de 16 de outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 274 de 20.10.2009, p. 36).
- A suspensão de certificados qualificados é prática operacional estabelecida dos prestadores de serviços de confiança em diversos Estados-Membros, sendo diferente da revogação e implicando a perda temporária de validade do certificado. A segurança jurídica exige que a suspensão de um certificado seja sempre indicada claramente. Para esse efeito, os prestadores de serviços de confiança deverão ser responsáveis pela clara indicação do estatuto do certificado e, se estiver suspenso, ao período exato pelo qual fica suspenso. O presente regulamento não deverá impor aos prestadores de serviços de confiança nem aos Estados-Membros o recurso à suspensão, mas prever regras de transparência quando e onde tal prática existir.
- A interoperabilidade e o reconhecimento transfronteiriço de certificados qualificados é um requisito prévio do reconhecimento transfronteiriço de assinaturas eletrónicas qualificadas. Como tal, os certificados qualificados não deverão estar sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no presente regulamento. Contudo, a nível nacional, deverá ser permitida a inclusão de características específicas, como identificadores únicos, nos certificados qualificados, desde que essas características específicas não prejudiquem a interoperabili dade e o reconhecimento transfronteiriço de certificados qualificados e de assinaturas eletrónicas qualificadas.
- A certificação de segurança informática baseada em normas internacionais (como a ISO 15408 e os métodos de avaliação e acordos de reconhecimento mútuo conexos) é um instrumento importante para verificar a segurança dos dispositivos qualificados de criação de assinaturas eletrónicas, e deverá ser promovida. Contudo, as soluções e serviços inovadores (como a assinatura móvel, a assinatura em nuvem, etc.) dependem de soluções de ordem técnica e organizativa para os dispositivos qualificados de criação de assinaturas eletrónicas, para os quais ainda não existem normas de segurança ou cuja primeira certificação de segurança informática esteja em curso. O nível de segurança desses dispositivos qualificados de criação de assinaturas eletrónicas só pode ser avaliado com recurso a processos alternativos quando ainda não existam normas de segurança ou a primeira certificação de segurança informática esteja em curso. Esses processos deverão ser comparáveis às normas de certificação de segurança informática na medida em que os seus níveis de segurança são equivalentes. Estes processos poderão ser facilitados por uma avaliação pelos pares.
- O presente regulamento deverá estabelecer os requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrónicas para garantir a funcionalidade das assinaturas eletrónicas avançadas. O presente regulamento não deverá abranger a totalidade da arquitetura do sistema em que esses dispositivos evoluem. Desta forma, o âmbito da certificação dos dispositivos qualificados de criação de assinaturas deverá ser limitado ao hardware e ao software do sistema utilizado para gerir e proteger os dados de criação da assinatura criados, conservados ou tratados no dispositivo de criação de assinaturas. O âmbito da obrigação de certificação, conforme referem as normas aplicáveis, deverá excluir as aplicações de criação de assinaturas.
- Para garantir a segurança jurídica no que respeita à validade da assinatura, é essencial especificar os componentes da assinatura eletrónica qualificada que deverão ser avaliados pelo utilizador que procede à validação. Além disso, a especificação dos requisitos aplicáveis aos prestadores qualificados de serviços de confiança que podem prestar serviços qualificados de validação a utilizadores que não desejem ou não possam efetuar eles mesmos a validação das assinaturas eletrónicas qualificadas deverá incentivar os setores público e privado a investirem em tais serviços. Ambos os setores deverão tornar a validação das assinaturas eletrónicas qualificadas fácil e conveniente para todas as partes a nível da União.
- Para as transações em que é exigido o selo eletrónico qualificado de uma pessoa coletiva, deverá ser igualmente aceitável a assinatura eletrónica qualificada do respetivo representante autorizado.
- Os selos eletrónicos deverão servir de prova da emissão de um documento eletrónico por determinada pessoa coletiva, certificando a origem e a integridade do documento.
- Os prestadores de serviços de confiança que emitam certificados qualificados de selo eletrónico deverão aplicar as medidas necessárias para determinar a identidade da pessoa singular que representa a pessoa coletiva à qual tenha sido fornecido certificado qualificado de selo eletrónico, se a identificação for necessária a nível nacional em ações judiciais ou administrativas.
- O presente regulamento deverá assegurar a preservação das informações a longo prazo, para assegurar a validade legal das assinaturas e dos selos eletrónicos durante períodos alargados e garantir que possam ser validados independentemente da evolução tecnológica futura.
- Para garantir a segurança dos selos temporais qualificados, o regulamento deverá exigir a utilização de um selo eletrónico avançado ou da assinatura eletrónica avançada ou de outros métodos equivalentes. É previsível que a inovação possa abrir caminho a novas tecnologias que garantam um nível de segurança equivalente para os selos temporais. Se for utilizado um método diferente do selo eletrónico avançado ou da assinatura eletrónica avançada, deverá caber ao prestador qualificado de serviços de confiança demonstrar, no relatório de avaliação da confor midade, que o método utilizado garante um nível de segurança equivalente e cumpre as obrigações estabelecidas no presente regulamento.
- Os documentos eletrónicos são importantes para o futuro desenvolvimento das transações eletrónicas transfron teiriças no mercado interno. O presente regulamento deverá estabelecer o princípio segundo o qual não podem ser recusados efeitos legais a um documento eletrónico pelo facto de se apresentar em formato eletrónico garantindo que que nenhuma transação eletrónica é rejeitada pelo facto de o documento se apresentar em formato eletrónico.
- Relativamente aos formatos das assinaturas e selos eletrónicos avançados, a Comissão deverá basear-se nas práticas, normas e disposições legislativas existentes, nomeadamente na Decisão 2011/130/UE da Comissão (1).
- Além de autenticarem o documento produzido pela pessoa coletiva, os selos eletrónicos podem ser utilizados para autenticar qualquer bem digital da pessoa coletiva, como um código de software ou um servidor.
- É essencial prever um quadro legal para facilitar o reconhecimento transfronteiriço entre os sistemas jurídicos nacionais vigentes no que diz respeito aos serviços de envio registado eletrónico. Esse quadro também pode abrir novas oportunidades aos prestadores de serviços de confiança da União para oferecerem novos serviços de envio registado eletrónico pan-europeu.
- Os serviços de autenticação de sítios web fornecem meios que dão aos visitantes de um sítio web a garantia de que existe uma entidade genuína e legítima responsável pelo sítio. Estes serviços contribuem para a criação de segurança e confiança na realização de negócios em linha, pois os utilizadores terão confiança nos sítios web que tenham sido autenticados. A prestação e utilização dos serviços de autenticação de sítios web são inteiramente voluntárias. Contudo, para que a autenticação de sítios web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e estimular o crescimento no mercado interno, o presente regulamento deverá estabelecer obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos prestadores e pelos serviços por eles prestados. Para esse efeito, foram tidos em conta os resultados de atuais iniciativas do setor (por exemplo, Fórum de Autoridades de Certificação/Browsers — CA/B Fórum). Além disso, o presente regulamento não deverá impedir a utilização de outros meios ou métodos para autenticar um sítio web não abrangido pelo presente regulamento, nem deverá impedir que os prestadores de países terceiros prestem os seus serviços de autenticação de sítios web a clientes na União. Todavia, em conformidade com o presente regulamento, os serviços de autenticação de sítios web de prestadores de países terceiros só deverão ser reconhe cidos como qualificados se tiver sido celebrado um acordo internacional entre a União e o país de estabelecimento do prestador.
- A noção de «pessoa coletiva», nos termos do disposto no Tratado sobre o Funcionamento da União Europeia (TFUE) em matéria de estabelecimento, deixa aos operadores a liberdade de escolherem a forma jurídica que considerarem mais adequada para o exercício da sua atividade. Assim, entende-se por «pessoa coletiva», na aceção do TFUE, todas as entidades constituídas nos termos da lei de um Estado-Membro, ou por estas regidas, inde pendentemente da sua forma jurídica.
- As instituições, órgãos, gabinetes e agências da União são incentivadas a reconhecer a identificação eletrónica e os serviços de confiança abrangidos pelo presente regulamento para efeitos de cooperação administrativa, nomeada mente tirando partido das boas práticas e dos resultados dos projetos em curso nos domínios abrangidos pelo presente regulamento.
(1) Decisão 2011/130/UE da Comissão, de 25 de fevereiro de 2011, que estabelece requisitos mínimos para o processamento trans fronteiriço de documentos assinados eletronicamente pelas autoridades competentes nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 53 de 26.2.2011, p. 66).
- A fim de complementar com flexibilidade e rapidez certos aspetos técnicos detalhados do presente regulamento, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito aos critérios a cumprir pelas entidades responsáveis pela certificação de dispositivos qualificados de criação de assinaturas eletrónicas. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos. A Comissão, quando preparar e redigir atos delegados, deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho.
- A fim de garantir condições uniformes de execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão, em particular para especificar os números de referência das normas cuja utilização conferirá uma presunção de conformidade com certos requisitos estabelecidos no presente regulamento. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (1).
- Quando adotar atos delegados ou de execução, a Comissão deverá considerar as normas e especificações técnicas estabelecidas pelas organizações e entidades europeias e internacionais de normalização, nomeadamente o Comité Europeu de Normalização (CEN), o Instituto Europeu de Normas de Telecomunicações (ETSI), a Organização Internacional de Normalização (ISO) e a União Internacional das Telecomunicações (UIT), a fim de assegurar um nível elevado de segurança e de interoperabilidade da identificação eletrónica e dos serviços de confiança.
- Por razões de segurança jurídica e de clareza, a Diretiva 1999/93/CE deverá ser revogada.
- Para garantir segurança jurídica aos operadores do mercado que já utilizam certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE, é necessário prever um prazo suficiente para a transição. Do mesmo modo, deverão ser previstas medidas transitórias para os dispositivos seguros de criação de assinaturas, cuja conformidade tenha sido determinada nos termos da Diretiva 1999/93/CE, e para os prestadores de serviços de certificação que emitam certificados qualificados até 1 de julho de 2016. Por último, é também necessário dotar a Comissão dos meios que lhe permitam adotar os atos de execução e os atos delegados antes dessa data.
- As datas de aplicação fixadas no presente regulamento não afetam as obrigações que já incumbem aos Estados-
-Membros nos termos da legislação da União, em especial da Diretiva 2006/123/CE.
- Atendendo a que os objetivos do presente regulamento não podem ser suficientemente alcançados pelos Estados-
-Membros, mas podem, devido à dimensão da ação prevista, ser mais bem alcançados ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.
- A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (2) e emitiu parecer em 27 de setembro de 2012 (3),
- Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).
- Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).
(3) JO C 28 de 30.1.2013, p. 6.
ADOTARAM O PRESENTE REGULAMENTO:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.o
Objeto
Tendo em vista assegurar o correto funcionamento do mercado interno e alcançar um nível adequado de segurança dos meios de identificação eletrónica e dos serviços de confiança, o presente regulamento:
- Estabelece as condições em que os Estados-Membros reconhecem e aceitam os meios de identificação eletrónica para identificar pessoas singulares e coletivas no quadro de um sistema de identificação eletrónica notificado de outro Estado-Membro;
- Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrónicas; e
- Institui um quadro legal para as assinaturas eletrónicas, os selos eletrónicos, os selos temporais, os documentos eletrónicos, os serviços de envio registado eletrónico e os serviços de certificados para autenticação de sítios web.
Artigo 2.o
Âmbito de aplicação
- O presente regulamento aplica-se aos sistemas de identificação eletrónica notificados pelos Estados-Membros e aos prestadores de serviços de confiança estabelecidos na União.
- O presente regulamento não se aplica à oferta de serviços de confiança utilizados exclusivamente dentro de sistemas fechados que decorram da legislação nacional ou de acordos entre um grupo definido de participantes.
- O presente regulamento não prejudica as disposições legislativas nacionais ou da União em matéria de celebração e validade de contratos nem outras obrigações legais ou de natureza processual relativas à forma.
Artigo 3.o
Definições
Para efeitos do presente regulamento, entende-se por:
- «Identificação eletrónica»: o processo de utilização dos dados de identificação pessoal em formato eletrónico que representam de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa coletiva;
- «Meio de identificação eletrónica»: uma unidade material e/ou imaterial que contenha os dados de identificação pessoal e que seja utilizada para autenticação de um serviço em linha;
- «Dados de identificação pessoal»: um conjunto de dados que permitam determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente uma pessoa coletiva;
- «Sistema de identificação eletrónica»: um sistema de identificação eletrónica ao abrigo do qual sejam produzidos meios de identificação eletrónica para as pessoas singulares ou coletivas, ou para as pessoas singulares que repre sentem pessoas coletivas;
- «Autenticação»: o processo eletrónico que permite a identificação eletrónica de uma pessoa singular ou coletiva ou da origem e integridade de um dado em formato eletrónico a confirmar;
- «Utilizador»: a pessoa singular ou coletiva que utiliza a identificação eletrónica ou o serviço de confiança;
- «Organismo público»: uma entidade estatal nacional, regional ou local, um organismo de direito público ou uma associação formada por uma ou mais dessas entidades ou por um ou mais organismos de direito público, ou uma entidade privada mandatada por, pelo menos, uma dessas autoridades, organismos ou associações como sendo de interesse público, ao abrigo de tal mandato;
- «Organismo de direito público»: o organismo definido no artigo 2.o, n.o 1, ponto 4), da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (1);
- «Signatário»: a pessoa singular que cria uma assinatura eletrónica;
- «Assinatura eletrónica»: os dados em formato eletrónico que se ligam ou estão logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo signatário para assinar;
- «Assinatura eletrónica avançada»: uma assinatura eletrónica que obedeça aos requisitos estabelecidos no artigo 26.o;
- «Assinatura eletrónica qualificada»: uma assinatura eletrónica avançada criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica;
- «Dados para a criação de uma assinatura eletrónica»: o conjunto único de dados que é utilizado pelo signatário para criar uma assinatura eletrónica;
- «Certificado de assinatura eletrónica»: um atestado eletrónico que associa os dados de validação da assinatura eletrónica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo;
- «Certificado qualificado de assinatura eletrónica»: um certificado de assinatura eletrónica, que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;
- «Serviço de confiança»: um serviço eletrónico geralmente prestado mediante remuneração, que consiste:
- Na criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados relacionados com estes serviços; ou
- Na criação, verificação e validação de certificados para a autenticação de sítios web; ou
- Na preservação das assinaturas, selos ou certificados eletrónicos relacionados com esses serviços;
- «Serviço de confiança qualificado»: um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no presente regulamento;
(1) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).
- «Organismo de avaliação da conformidade»: o organismo definido no artigo 2.o, n.o 13, do Regulamento (CE)
n.o 765/2008, que é acreditado nos termos do mesmo regulamento como sendo competente para realizar a avaliação da conformidade de prestadores qualificados de serviços de confiança e dos serviços de confiança quali ficados prestados;
- «Prestador de serviços de confiança»: a pessoa singular ou coletiva que preste um ou mais do que um serviço de confiança quer como prestador qualificado quer como prestador não qualificado de serviços de confiança;
- «Prestador qualificado de serviços de confiança»: o prestador de serviços de confiança que preste um ou mais do que um serviço de confiança qualificado e ao qual é concedido o estatuto de qualificado pela entidade supervisora;
- «Produto»: hardware ou software, ou componentes pertinentes de hardware ou software, que se destinem a ser utilizados para a prestação de serviços de confiança;
- «Dispositivo de criação de assinaturas eletrónicas»: software ou hardware configurados, utilizados para criar assinaturas eletrónicas;
- «Dispositivo qualificado de criação de assinaturas eletrónicas»: o dispositivo para a criação de assinaturas eletrónicas que cumpra os requisitos estabelecidos no anexo II;
- «Criador de um selo»: a pessoa coletiva que cria um selo eletrónico;
- «Selo eletrónico»: os dados em formato eletrónico apenso ou logicamente associado a outros dados em formato eletrónico para garantir a origem e a integridade destes últimos;
- «Selo eletrónico avançado»: um selo eletrónico que obedeça aos requisitos estabelecidos no artigo 36.o:
- «Selo eletrónico qualificado»: selo eletrónico avançado criado por um dispositivo qualificado de criação de selos eletrónicos e que se baseie num certificado qualificado de selo eletrónico;
- «Dados para a criação de um selo eletrónico»: o conjunto único de dados que seja utilizado pelo criador do selo eletrónico para criar um selo eletrónico;
- «Certificado de selo eletrónico»: um atestado eletrónico que associa os dados de validação do selo eletrónico a uma pessoa coletiva e confirma o seu nome;
- «Certificado qualificado de selo eletrónico»: um certificado de selo eletrónico emitido por um prestador qualificado de serviços de confiança que satisfaça os requisitos estabelecidos no anexo III;
- «Dispositivo de criação de selos eletrónicos»: software ou hardware configurados, utilizados para criar selos eletrónicos;
- «Dispositivo qualificado de criação de selos eletrónicos»: um dispositivo para a criação de selos eletrónicos que satisfaça mutatis mutandis os requisitos estabelecidos no anexo II;
- «Selos temporais»: os dados em formato eletrónico que vinculam outros dados em formato eletrónico a uma hora específica, criando uma prova de que esses outros dados existiam nesse momento;
- «Selo temporal qualificado»: um selo temporal que satisfaça os requisitos estabelecidos no artigo 42.o;
- «Documento eletrónico»: qualquer conteúdo armazenado em formato eletrónico, nomeadamente texto ou gravação sonora, visual ou audiovisual;
- «Serviço de envio registado eletrónico»: um serviço que torne possível a transmissão de dados entre terceiros por meios eletrónicos e forneça prova do tratamento dos dados transmitidos, nomeadamente a prova do envio e da receção dos mesmos, e que proteja os dados transferidos contra o risco de perda, roubo, dano ou alteração não autorizada;
- «Serviço qualificado de envio registado eletrónico»: um serviço de envio registado eletrónico que satisfaça os requisitos estabelecidos no artigo 44.o;
- «Certificado de autenticação de sítio web»: um atestado que torne possível autenticar um sítio web e associe o sítio web
à pessoa singular ou coletiva à qual o certificado tenha sido emitido;
- «Certificado qualificado de autenticação de sítios web»: um certificado de autenticação de sítios web que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;
- «Dados de validação»: dados que são utilizados para validar uma assinatura eletrónica ou um selo eletrónico;
- «Validação»: o processo pelo qual é verificada e confirmada a validade de uma assinatura ou selo eletrónico.
Artigo 4.o
Princípios relativos ao mercado interno
- Não podem ser impostas restrições à prestação de serviços de confiança no território dos Estados-Membros por prestadores de serviços de confiança estabelecidos noutros Estados-Membros por razões que se enquadrem nos domínios abrangidos pelo presente regulamento.
- Os produtos e serviços de confiança que cumpram o disposto no presente regulamento podem circular livremente no mercado interno.
Artigo 5.o
Tratamento e proteção dos dados
- O tratamento dos dados pessoais é realizado nos termos da Diretiva 95/46/CE.
- Sem prejuízo dos efeitos legais conferidos aos pseudónimos nos termos das legislações nacionais, não é proibido utilizar pseudónimos em transações eletrónicas.
CAPÍTULO II
IDENTIFICAÇÃO ELETRÓNICA
Artigo 6.o
Reconhecimento mútuo
- Quando, para aceder a um serviço em linha prestado por um organismo público de um Estado-Membro, seja exigida, ao abrigo da legislação ou nos termos da prática administrativa nacional, uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação, o meio de identificação eletrónica produzido noutro Estado-
-Membro é reconhecido no primeiro Estado-Membro para efeitos de autenticação transfronteiriço para o referido serviço em linha, se estiverem reunidas as seguintes condições:
- O meio de identificação eletrónica ser produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o;
- O nível de garantia do meio de identificação eletrónica corresponder a um nível de garantia igual ou superior ao exigido pelo organismo público para o acesso ao serviço em linha no primeiro Estado-Membro, desde que o nível de garantia do referido meio de identificação eletrónica corresponda ao nível substancial ou elevado;
- O organismo público em causa utilizar o nível de garantia substancial ou elevado para conceder acesso ao referido serviço em linha.
O reconhecimento é efetuado num prazo de 12 meses após a Comissão ter publicado, a lista a que se refere a alínea a) do primeiro parágrafo.
- O meio de identificação eletrónica produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o, e correspondente ao nível de garantia baixo, pode ser reconhecido pelos organismos públicos para efeitos de autenticação transfronteiriça para conceder acesso ao serviço prestado em linha por esses mesmos organismos.
Artigo 7.o
Elegibilidade para notificação dos sistemas de identificação eletrónica
Os sistemas de identificação eletrónica podem ser notificados nos termos do artigo 9.o, n.o 1, se estiverem reunidas todas as seguintes condições:
- Os meios de identificação eletrónica que integram o sistema de identificação eletrónica serem produzidos:
- pelo Estado-Membro notificante,
- por mandato do Estado-Membro notificante, ou
- independentemente do Estado-Membro notificante e serem por ele reconhecidos;
- Os meios de identificação eletrónica que integram o sistema de identificação eletrónica poderem ser utilizados para aceder pelo menos a um serviço prestado por um organismo público que exija identificação eletrónica no Estado-
-Membro notificante;
- O sistema de identificação eletrónica e os meios de identificação eletrónica por ele produzidos preencherem os requisitos de pelo menos um dos níveis de garantia estabelecidos no ato de execução a que se refere o artigo 8.o, n.o 3;
- O Estado-Membro notificante garantir que os dados de identificação que representam de modo único a pessoa em causa são atribuídos, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3, à pessoa singular ou coletiva referida no artigo 3.o, ponto 1, no momento em que os meios de identificação eletrónica que integram o sistema forem produzidos;
- A parte que produz os meios de identificação eletrónica que integram o sistema garantir que os mesmos meios de identificação são atribuídos à pessoa singular ou coletiva a que se refere a alínea d), do presente artigo, em confor midade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3;
- O Estado-Membro notificante garantir a possibilidade de autenticação em linha, para que qualquer utilizador estabe lecido no território de outro Estado-Membro possa confirmar os dados de identificação recebidos em formato eletrónico.
Para os utilizadores que não sejam organismos públicos, o Estado-Membro notificante pode definir termos de acesso à referida autenticação. Este tipo de autenticação transfronteiriça é gratuito se for realizado para acesso a um serviço em linha prestado por um organismo público.
Os Estados-Membros não podem impor requisitos técnicos específicos desproporcionados aos utilizadores que pre tendam executar essa autenticação, se esses requisitos impedirem ou dificultarem significativamente a interoperabili dade dos sistemas de identificação eletrónica notificados;
- No mínimo seis meses antes da notificação prevista no artigo 9.o, n.o 1, o Estado-Membro notificante fornecer aos outros Estados-Membros para cumprimento da obrigação estabelecida no artigo 12.o, n.o 5, uma descrição do sistema, de acordo com as modalidades processuais definidas pelos atos de execução a que se refere o artigo 12.o, n.o 7;
- O sistema de identificação eletrónica cumprir os requisitos definidos no ato de execução mencionado no artigo 12.o,
n.o 8.
Artigo 8.o
Níveis de garantia dos sistemas de identificação eletrónica
- Os sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, especificam os níveis de garantia reduzidos, substanciais e/ou elevados para os meios de identificação eletrónica neles produzidos.
- Os níveis de garantia reduzidos, substanciais e elevados cumprem, respetivamente, os seguintes critérios:
- O nível de garantia reduzido corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança limitado relativamente à identidade declarada ou reivin dicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de utilização ou alteração indevida da identidade;
- O nível de garantia substancial corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança substancial relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedi mentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de utilização ou alteração indevida da identidade;
- O nível de garantia elevado corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança relativamente à identidade declarada ou reivindicada por determinada pessoa mais elevado do que os meios de identificação eletrónica com o nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é evitar a utilização ou a alteração indevida da identidade.
- Até 18 de setembro de 2015, tendo em conta as normas internacionais aplicáveis e sob reserva do n.o 2, a Comissão define, por meio de atos de execução, as especificações técnicas mínimas, as normas e os procedimentos que devem servir de referência para a especificação dos níveis de garantia reduzido, substancial e elevado para meios de identificação eletrónica para efeitos do n.o 1.
As especificações técnicas mínimas, as normas e os procedimentos são estabelecidos por referência à confiança e qualidade:
- Do procedimento para provar e verificar a identidade das pessoas singulares ou coletivas que requeiram a produção do meio de identificação eletrónica;
- Do procedimento para a produção do meio de identificação eletrónica solicitado;
- Do mecanismo de autenticação através do qual a pessoa singular ou coletiva utiliza o meio de identificação eletrónica para confirmar a sua identidade a um utilizador;
- Da entidade que produz os meios de identificação eletrónica;
- De qualquer outro organismo implicado no processo de requisição da produção do meio de identificação eletrónica; e
- Das especificações técnicas e de segurança do meio de identificação eletrónica produzido.
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 9.o
Notificação
- O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:
- Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;
- O regime de supervisão e de responsabilidade aplicáveis no que diz respeito:
- à parte que produz o meio de identificação eletrónica, e
- à parte que executa o procedimento de autenticação.
- Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;
- Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;
- Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;
- Uma descrição da autenticação referida no artigo 7.o, alínea f);
- As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.
- Um ano após a data de aplicação dos atos de execução a que se refere os artigos 8.o, n.o 3, e 12.o, n.o 8, a Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1 do presente artigo e as informações básicas a eles respeitantes.
- Se receber uma notificação após o termo do prazo referido no n.o 2, a Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.o 2 num prazo de dois meses a contar da data da receção da notificação.
- Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 2 os sistemas de identificação eletrónica que tenham notificado. A Comissão publica no Jornal Oficial da União Europeia as correspondentes alterações à lista no prazo de um mês após a receção do pedido do Estado-Membro.
- A Comissão pode, por meio de atos de execução, definir as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 10.o
Violação da segurança
- Se o sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1, ou a autenticação referida no artigo 7.o, alínea f), forem violados ou parcialmente comprometidos de forma que prejudique a fiabilidade da autenticação transfronteiriça do sistema, o Estado-Membro notificante suspende ou revoga sem demora a referida autenticação ou os elementos comprometidos, informando desse facto os outros Estados-Membros e a Comissão.
- Se a violação ou o comprometimento referidos no n.o 1 forem sanados, o Estado-Membro notificante restabelece a autenticação transfronteiriça e informa desse facto sem demora indevida os outros Estados-Membros e a Comissão.
- Se a violação ou o comprometimento referidos no n.o 1 não forem sanados no prazo de três meses a contar da suspensão ou revogação, o Estado-Membro notificante notifica os outros Estados-Membros e a Comissão da supressão do sistema de identificação eletrónica.
A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 9.o, n.o 2.
Artigo 11.o
Responsabilidade
- O Estado-Membro notificante responde pelos danos causados deliberadamente ou por negligência a qualquer pessoa singular ou coletiva por incumprimento das obrigações que lhe são impostas nos termos do artigo 7.o, alíneas d) e f), numa transação transfronteiriça.
- A parte que produz o meio de identificação eletrónica responde pelos danos causados deliberadamente ou por negligência a qualquer pessoa singular ou coletiva pelo incumprimento da obrigação que lhe é imposta nos termos do artigo 7.o, alínea e), numa transação transfronteiriça.
- A parte que executa o procedimento de autenticação responde pelos danos causados deliberadamente ou por negligência a qualquer pessoa singular ou coletiva por não assegurar, numa transação transfronteiriça, a correta auten ticação a que se refere o artigo 7.o, alínea f).
- Os n.os 1, 2 e 3 aplicam-se nos termos das disposições nacionais em matéria de responsabilidade.
- Os n.os 1, 2 e 3 aplicam-se sem prejuízo da responsabilidade das partes nos termos do direito nacional, relativa mente a uma transação em que sejam utilizados meios de identificação eletrónica abrangidos pelo sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1.
Artigo 12.o
Cooperação e interoperabilidade
- Os sistemas nacionais de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1 são interoperáveis.
- Para efeitos do requisito previsto no n.o 1, é estabelecido o quadro de interoperabilidade.
- O quadro de interoperabilidade obedece aos seguintes critérios:
- Procurar ser tecnologicamente neutro e não fazer discriminações em relação às soluções técnicas nacionais específicas utilizadas para a identificação eletrónica no Estado-Membro em causa;
- Seguir, se possível, as normas europeias e internacionais;
- Facilitar a aplicação do princípio da privacidade desde a conceção; e
- Assegurar que os dados pessoais são tratados nos termos da Diretiva 95/46/CE.
- O quadro de interoperabilidade compreende:
- A referência aos requisitos técnicos mínimos relacionados com os níveis de garantia previstos no artigo 8.o;
- A tabela das correspondências entre os níveis de garantia nacionais dos sistemas de identificação eletrónica notificados e os níveis de garantia previstos no artigo 8.o;
- A referência aos requisitos técnicos mínimos para a interoperabilidade;
- A referência a um conjunto mínimo de dados de identificação que representem de modo único uma pessoa singular ou coletiva, produzido por sistemas de identificação eletrónica;
- As regras processuais;
- As disposições em matéria de resolução de litígios; e
- As normas comuns de segurança operacional.
- Os Estados-Membros cooperam nas seguintes matérias:
- Interoperabilidade dos sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, e dos sistemas de identificação eletrónica que os Estados-Membros pretendem notificar; e
- Segurança dos sistemas de identificação eletrónica.
- A cooperação entre os Estados-Membros compreende:
- O intercâmbio de informações, experiências e boas práticas relativamente aos sistemas de identificação eletrónica, nomeadamente no que respeita aos requisitos técnicos relacionados com a interoperabilidade e os níveis de garantia;
- O intercâmbio de informações, experiência e boas práticas relativamente aos níveis de garantia de sistemas de identificação eletrónica previstos no artigo 8.o;
- A avaliação pelos pares dos sistemas de identificação eletrónica abrangidos pelo presente regulamento; e
- A análise dos aspetos importantes da evolução do setor da identificação eletrónica.
- Até 18 de março de 2015, a Comissão estabelece, por meio de atos de execução, as necessárias modalidades processuais de facilitação da cooperação entre os Estados-Membros a que se referem os n.os 5 e 6, tendo em vista promover um nível elevado de confiança e segurança, adequado ao grau de risco.
- Até 18 de setembro de 2015, para efeitos da definição das condições uniformes para o cumprimento do requisito referido no n.o 1, a Comissão, sob reserva dos critérios estabelecidos no n.o 3 e tendo em conta os resultados da cooperação entre os Estados-Membros, adota atos de execução referentes ao quadro de interoperabilidade tal como é definido no n.o 4.
- Os atos de execução referidos nos n.os 7 e 8 são adotados pelo procedimento de exame a que se refere o artigo 48.o,
n.o 2.
CAPÍTULO III
SERVIÇOS DE CONFIANÇA
SECÇÃO 1
Disposições gerais
Artigo 13.o
Responsabilidade e ónus da prova
- Sem prejuízo do disposto no n.o 2, os prestadores de serviços de confiança respondem pelos danos causados deliberadamente ou por negligência a todas as pessoas singulares ou coletivas por incumprimento das obrigações previstas no presente regulamento.
O ónus da prova da intenção ou negligência de um prestador não qualificado de serviços de confiança recai sobre a pessoa singular ou coletiva que intente a ação de indemnização pelos danos referidos no n.o 1.
Presume-se a intenção ou negligência de um prestador qualificado de serviços de confiança, exceto se este provar que os danos referidos no primeiro parágrafo não foram causados por sua intenção ou negligência.
- Se os prestadores de serviços de confiança informarem prévia e devidamente os seus clientes sobre os limites da utilização dos serviços prestados e, se esses limites forem identificáveis por terceiros, os mesmos prestadores de serviços de confiança não respondem pelos danos decorrentes de uma utilização dos serviços que exceda os limites indicados.
- Os n.os 1 e 2 aplicam-se nos termos das disposições nacionais em matéria de responsabilidade.
Artigo 14.o
Aspetos internacionais
- Os serviços de confiança prestados por prestadores de serviços de confiança estabelecidos num país terceiro são reconhecidos como juridicamente equivalentes aos serviços de confiança qualificados prestados por prestadores qualifi cados de serviços de confiança estabelecidos na União, se os serviços de confiança originários do país terceiro forem reconhecidos nos termos de um acordo celebrado entre a União e o país terceiro em causa ou uma organização internacional em conformidade com o artigo 218.o do TFUE.
- Os acordos referidos no n.o 1 asseguram, nomeadamente, que:
- Os requisitos aplicáveis aos prestadores qualificados de serviços de confiança estabelecidos na União e os serviços de confiança qualificados por eles prestados são cumpridos pelos prestadores de serviços de confiança no país terceiro ou organizações internacionais com os quais tenham sido celebrados acordos, e pelos serviços de confiança que forne cerem;
- Os serviços de confiança qualificados prestados pelos prestadores qualificados de serviços de confiança estabelecidos na União são reconhecidos como juridicamente equivalentes aos serviços de confiança prestados por prestadores de serviços de confiança nos países terceiros ou organizações internacionais com os quais tenham sido celebrados acordos.
Artigo 15.o
Acessibilidade para as pessoas com deficiência
Quando tal for exequível, os serviços de confiança oferecidos e os produtos de utilizador final utilizados na oferta desses serviços serão acessíveis às pessoas com deficiência.
Artigo 16.o
Sanções
Os Estados-Membros estabelecem o regime de sanções aplicável às infrações ao presente regulamento. As sanções impostas serão efetivas, proporcionadas e dissuasivas.
SECÇÃO 2
Supervisão
Artigo 17.o
Entidade supervisora
- Os Estados-Membros designam uma entidade supervisora estabelecida no seu território ou, por mútuo acordo com outro Estado-Membro, uma entidade supervisora estabelecida nesse outro Estado-Membro. Essa entidade é responsável pelas funções de supervisão no Estado-Membro que procede à designação.
As entidades supervisoras são dotadas dos poderes necessários e recursos adequados para o exercício das suas funções.
- Os Estados-Membros comunicam à Comissão os nomes e os endereços das entidades supervisoras que designarem.
- A entidade supervisora tem as seguintes funções:
- Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procede à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento;
- Se necessário, tomar medidas face aos prestadores de serviços de confiança não qualificados estabelecidos no território do Estado-Membro que procede à designação, por meio de atividades de supervisão a posteriori, se lhe for alegado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento.
- Para efeitos do n.o 3 e sob reserva dos limites nele impostos, contam-se entre as funções da entidade supervisora, em particular:
- Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos do artigo 18.o;
- Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1;
- Informar outras entidades supervisoras e o público das violações de segurança ou perdas de integridade, nos termos do artigo 19.o, n.o 2;
- Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6;
- Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2;
- Cooperar com as autoridades de proteção de dados, nomeadamente informando-as sem demora indevida dos resul tados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais;
- Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o;
- Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora;
- Verificar a existência e a aplicação correta das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h);
- Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento.
- Os Estados-Membros podem exigir que a entidade supervisora crie, conserve e atualize uma infraestrutura de confiança de acordo com as condições estabelecidas pelo direito nacional.
- Até 31 de março de cada ano, as entidades supervisoras apresentam à Comissão um relatório sobre as principais atividades do ano anterior, juntamente com um resumo das notificações de violações enviadas pelos prestadores de serviços de confiança nos termos do disposto no artigo 19.o, n.o 2.
- A Comissão põe o relatório anual referido no n.o 6 à disposição dos Estados-Membros.
- A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis ao relatório referido no n.o 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 18.o
Assistência mútua
- As entidades supervisoras cooperam tendo em vista o intercâmbio de boas práticas.
Após receção de um pedido justificado por outra entidade supervisora, as entidades supervisoras prestam assistência àquela entidade para que as atividades de entidade supervisora possam ser exercidas de maneira coerente. A assistência mútua pode abranger, em particular, pedidos de informação e medidas de supervisão, tais como pedidos de realização de inspeções relacionadas com os relatórios de avaliação da conformidade referidos nos artigos 20.o e 21.o.
- As entidades supervisoras às quais tenham sido dirigidos pedidos de assistências podem indeferi-los por qualquer dos seguintes motivos:
- Não forem competentes para prestar a assistência solicitada;
- A assistência solicitada não for proporcional às atividades de supervisão realizadas pelas entidades supervisoras nos termos do disposto no artigo 17.o;
- Prestar a assistência solicitada for incompatível com o presente regulamento.
- Quando se justificar, os Estados-Membros podem autorizar as respetivas entidades supervisoras a efetuar investi gações conjuntas nas quais participem quadros das entidades supervisoras de outros Estados-Membros. As disposições e procedimentos aplicáveis a tais atividades conjuntas são acordadas e estabelecidas pelos Estados-Membros em causa nos termos das respetivas legislações nacionais.
Artigo 19.o
Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
- Os prestadores qualificados e não qualificados de serviços de confiança tomam as medidas de caráter técnico e organizativo que forem adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta a evolução tecnológica mais recente, essas medidas assegurarão um nível de segurança proporcional ao grau de risco existente. Em particular, são tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.
- Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.
Se a violação da segurança ou perda de integridade constatada for suscetível de prejudicar a pessoa singular ou coletiva a quem o serviço de confiança tiver sido prestado, o prestador dos serviços de confiança notifica também sem demora indevida a referida pessoa singular ou coletiva da violação da segurança ou da perda de integridade.
Se necessário, em particular se a violação da segurança ou a perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora notificada informa do facto as entidades supervisoras dos outros Estados-
-Membros em causa e a ENISA.
A entidade supervisora notificada informa o público ou exige que o prestador do serviço de confiança o faça, se considerar que a divulgação da violação da segurança ou perda de integridade é do interesse público.
- A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança.
- A Comissão pode, por meio de atos de execução:
- Especificar mais as medidas referidas no n.o 1, e
- Definir os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto no
n.o 2.
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 3
Serviços qualificados de confiança
Artigo 20.o
Fiscalização dos prestadores qualificados de serviços de confiança
- Os prestadores qualificados de serviços de confiança são auditados, pelo menos de 24 em 24 meses, a expensas suas, por um organismo de avaliação da conformidade. O objetivo de tal auditoria é confirmar que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança que prestam cumprem os requisitos estabelecidos pelo presente regulamento. Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora no prazo de três dias úteis depois de o terem recebido.
- Sem prejuízo do disposto no n.o 1, a entidade supervisora pode, em qualquer altura, auditar ou pedir a um organismo de avaliação da conformidade que efetue uma avaliação da conformidade dos prestadores qualificados de serviços de confiança, a expensas desses prestadores qualificados de serviços de confiança, para confirmar que tanto os próprios prestadores, como os serviços de confiança qualificados por eles prestados cumprem as condições estabelecidas no presente regulamento. Em caso de suspeita de violação das regras de proteção de dados pessoais, a entidade supervisora informa as autoridades responsáveis pela proteção de dados dos resultados das suas auditorias.
- Se a entidade supervisora exigir que o prestador qualificado de serviços de confiança corrija os incumprimentos dos requisitos do presente regulamento e se o prestador não agir em conformidade, eventualmente dentro de um prazo fixado pela entidade supervisora, esta pode, tendo em conta nomeadamente a dimensão, a duração e as consequências desse incumprimento, retirar o estatuto de qualificado ao prestador ou ao serviço afetado por ele prestado e informar a entidade referida no artigo 22.o, n.o 3, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1. A entidade supervisora informa o prestador qualificado de serviços de confiança da retirada do seu estatuto de qualificado ou do estatuto de qualificado do serviço em causa.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas aplicáveis:
- À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.o 1;
- Às regras de auditoria segundo as quais os organismos de avaliação da conformidade efetuam a avaliação da conformidade dos prestadores qualificados de serviços de confiança a que se refere o n.o 1.
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 21.o
Início de um serviço de confiança qualificado
- Quando os prestadores de serviços de confiança, sem estatuto de qualificado, pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.
- A entidade supervisora verifica se o prestador de serviços de confiança os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento, designadamente com os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados.
Se a entidade supervisora concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos a que se refere o primeiro parágrafo, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3.o, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo.
Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.
- Os prestadores qualificados de serviços de confiança podem iniciar a prestação do serviço de confiança qualificado depois de o estatuto de qualificado ter sido publicado nas listas de confiança referidas no artigo 22.o, n.o 1.
- A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1 e 2. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o,
n.o 2.
Artigo 22.o
Listas de confiança
- Os Estados-Membros elaboram, conservam e publicam listas de confiança com informações relativas aos prestadores qualificados de serviços de confiança para os quais forem competentes, assim como informações relacionadas com os serviços de confiança qualificados por eles prestados.
- Os Estados-Membros elaboram e publicam, em condições seguras, as listas de confiança referidas no n.o 1, ele tronicamente assinadas ou seladas, num formato adequado ao tratamento automático.
- Os Estados-Membros transmitem à Comissão, sem atrasos indevidos, informações sobre a entidade responsável pela elaboração, conservação e publicação das listas de confiança nacionais, os dados referentes ao local em que tais listas se encontram publicadas, bem como sobre os certificados utilizados para as assinar ou selar e as eventuais alterações a tais informações.
- A Comissão disponibiliza ao público, através de um canal seguro, as informações referidas no n.o 3 num formato eletronicamente assinado ou selado, adequado ao tratamento automático.
- Até 18 de setembro de 2015, a Comissão especifica, por meio de atos de execução, as informações referidas no
n.o 1 e define as especificações técnicas e os formatos das listas de confiança aplicáveis para efeitos do disposto nos n.os 1 a 4. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 23.o
Marca de confiança «UE» para serviços de confiança qualificados
- Depois de o estatuto de qualificado referido no artigo 21.o, n.o 2, segundo parágrafo, ser publicado na lista de confiança a que se refere o artigo 22.o, n.o 1, os prestadores qualificados de serviços de confiança podem utilizar a marca de confiança «UE» para identificar, de forma simples, reconhecível e clara, os serviços de confiança qualificados que prestam.
- Ao utilizar a marca de confiança «UE» para os serviços de confiança qualificados referida no n.o 1, os prestadores qualificados de serviços de confiança asseguram-se da existência de uma ligação à correspondente lista de confiança no seu sítio web.
- Até 1 de julho de 2015, a Comissão estabelece, por meio de atos de execução, as especificações relativas à forma e, em particular, à apresentação, composição, dimensão e conceção da marca de confiança «UE» para serviços de confiança qualificados. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 24.o
Requisitos aplicáveis aos prestadores qualificados de serviços de confiança
- Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.
As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:
- Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou
- À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8.o relativamente aos níveis de garantia «substancial» ou «elevado»; ou
- Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou
- Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade.
- Os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados:
- Informam a entidade supervisora de todas as alterações à prestação dos seus serviços de confiança qualificados, inclusivamente da intenção de cessação de atividades;
- Empregam pessoal e, eventualmente, subcontratantes que possuam a especialização, a confiança, experiência e as qualificações necessárias e que tenham recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais e aplicam procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais;
- Face ao risco da responsabilidade por danos prevista no artigo 13.o, conservam recursos financeiros suficientes e/ou adquirem um seguro de responsabilidade adequado, de acordo com a legislação nacional;
- Antes de estabelecerem uma relação contratual, informam, de forma clara e completa, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização;
- Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte;
- Utilizam sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que:
- os dados apenas estejam publicamente disponíveis para extração se tiver sido obtido o consentimento da pessoa a quem os dados digam respeito,
- apenas as pessoas autorizadas possam introduzir dados e alterações aos dados armazenados,
- a autenticidade dos dados possa ser verificada;
- Tomam as medidas adequadas para prevenir a falsificação e o roubo dos dados;
- Registam e mantêm acessíveis durante um prazo adequado, incluindo depois de o prestador qualificado de serviços de confiança ter deixado de prestar esses serviços, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, em particular para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito eletronicamente;
- Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 17.o, n.o 4, alínea i);
- Garantem um tratamento lícito dos dados pessoais em conformidade com a Diretiva 95/46/CE;
- Criam e mantêm atualizada uma base de dados de certificados, quando emitam certificados qualificados.
- Se os prestadores qualificados de serviços de confiança que emitem certificados qualificados decidirem revogar um certificado, registam a revogação na sua base de dados e publicam-na em tempo útil, mas sempre no prazo de 24 horas após a receção do pedido. A revogação produz efeitos imediatamente após a sua publicação.
- No que respeita ao disposto no n.o 3, os prestadores qualificados de serviços de confiança que emitam certificados qualificados fornecem a qualquer utilizador informações sobre a validade ou a revogação dos certificados qualificados por eles emitidos. Estas informações são fornecidas pelo menos para cada certificado, em qualquer altura e mesmo após o termo do prazo de validade do certificado, de uma maneira automática que seja fiável, gratuita e eficaz.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos sistemas e produtos fiáveis que cumprem os requisitos constantes do n.o 2, alíneas e) e f). Os sistemas e produtos fiáveis conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no artigo 24.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 4
Assinaturas eletrónicas
Artigo 25.o
Efeitos legais das assinaturas eletrónicas
- Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a uma assinatura eletrónica pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos exigidos para as assinaturas eletrónicas qualificadas.
- A assinatura eletrónica qualificada tem um efeito legal equivalente ao de uma assinatura manuscrita.
- As assinaturas eletrónicas qualificadas baseadas em certificados qualificados emitidos num Estado-Membro são reconhecidas como assinatura eletrónica qualificada em todos os outros Estados-Membros.
Artigo 26.o
Requisitos para as assinaturas eletrónicas avançadas
A assinatura eletrónica avançada obedece aos seguintes requisitos:
- Estar associada de modo único ao signatário;
- Permitir identificar o signatário;
- Ser criada utilizando dados para a criação de uma assinatura eletrónica que o signatário pode, com um elevado nível de confiança, utilizar sob o seu controlo exclusivo; e
- Estar ligada aos dados por ela assinados de tal modo que seja detetável qualquer alteração posterior dos dados.
Artigo 27.o
Assinaturas eletrónicas em serviços públicos
- O Estado-Membro que exigir assinatura eletrónica avançada para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas, as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.
- O Estado-Membro que exigir assinatura eletrónica avançada baseada num certificado qualificado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.
- Os Estados-Membros não exigem para a utilização transfronteiriça em serviços em linha prestados por organismos públicos, uma assinatura eletrónica com um nível de garantia de segurança superior ao da assinatura eletrónica quali ficada.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas às assinaturas eletrónicas avançadas. As assinaturas eletrónicas avançadas conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos aplicáveis às assinaturas eletrónicas avançadas referidos nos n.os 1 e 2 do presente artigo e no artigo 26.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
- Até 18 de setembro de 2015, e tendo em conta as práticas, normas e atos jurídicos da União, a Comissão, mediante atos de execução, define os formatos de referência das assinaturas eletrónicas avançadas ou os métodos de referência se forem utilizados formatos alternativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 28.o
Certificados qualificados de assinaturas eletrónicas
- Os certificados qualificados de assinaturas eletrónicas cumprem os requisitos estabelecidos no anexo I.
- Os certificados qualificados de assinaturas eletrónicas não podem estar sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no anexo I.
- Os certificados qualificados de assinaturas eletrónicas podem incluir características específicas adicionais não obri gatórias. Tais características não prejudicam a interoperabilidade e o reconhecimento das assinaturas eletrónicas qualifi cadas.
- Os certificados qualificados de assinaturas eletrónicas que tenham sido revogados após a ativação inicial perdem a validade a partir do momento da revogação, não podendo o seu estatuto ser revertido, em nenhuma circunstância.
- Os Estados-Membros podem estabelecer regras nacionais sobre a suspensão temporária dos certificados qualificados de uma assinatura eletrónica na condição de:
- O certificado qualificado de assinatura eletrónica que tiver sido suspenso temporariamente perder a sua validade durante o período da suspensão.
- O período de suspensão ser claramente indicado na base de dados de certificados e, durante o período pertinente, o estatuto de suspensão ser visível para o serviço que presta informações sobre o estatuto dos certificados.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de assinatura eletrónica. Os certificados qualificados de assinatura eletrónica conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo I. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 29.o
Requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrónicas
- Os dispositivos qualificados de criação de assinaturas eletrónicas cumprem os requisitos estabelecidos no anexo II.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos dispositivos qualificados de criação de assinaturas eletrónicas. Os dispositivos qualificados de criação de assinaturas eletrónicas conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo II. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 30.o
Certificação dos dispositivos qualificados de criação de assinaturas eletrónicas
- A conformidade dos dispositivos qualificados de criação de assinaturas eletrónicas com os requisitos estabelecidos no anexo II é certificada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros.
- Os Estados-Membros comunicam à Comissão a denominação e o endereço da entidade pública ou privada por eles designada, referida no n.o 1. A Comissão põe a informação à disposição dos Estados-Membros.
- A certificação referida no n.o 1 é baseada:
- Num processo de avaliação de segurança executado de acordo com as normas da avaliação de segurança dos produtos informáticos constantes da lista elaborada nos termos do segundo parágrafo; ou
- Num processo diferente do referido na alínea a), desde que esse processo utilize níveis de segurança comparáveis e a entidade pública ou privada referida no n.o 1 notifique esse processo à Comissão. Esse processo só pode ser utilizado na falta das normas constantes da alínea a) ou se estiver em curso um processo de avaliação de segurança referido na alínea a).
A Comissão deve, por meio de atos de execução, elaborar a lista de normas da avaliação de segurança dos produtos informáticos a que se refere a alínea a). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 8.o.
- A Comissão tem poderes para adotar atos delegados nos termos do artigo 47.o para estabelecer os critérios específicos a cumprir pelas entidades designadas referidas no n.o 1 do presente artigo.
Artigo 31.o
Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas
- Os Estados-Membros comunicam à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos qualificados de criação de assinaturas eletrónicas que tenham sido certi ficados pelas entidades referidas no artigo 30.o, n.o 1. Comunicam também à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos de criação de assinaturas eletrónicas que deixem de estar certificados.
- Com base nas informações recebidas, a Comissão elabora, publica e mantém atualizada uma lista dos dispositivos qualificados e certificados de criação de assinaturas eletrónicas.
- A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 32.o
Requisitos aplicáveis à validade das assinaturas eletrónicas qualificadas
- O processo de validação de uma assinatura eletrónica qualificada confirma a validade desta na condição de:
- No momento da assinatura, o certificado que lhe serve de suporte ser um certificado qualificado de assinatura eletrónica conforme com o disposto no anexo I;
- O certificado qualificado ter sido emitido por um prestador qualificado de serviços de confiança e ser válido no momento da assinatura;
- Os dados para a validação da assinatura corresponderem aos dados fornecidos ao utilizador;
- O conjunto único de dados que representam o signatário no certificado serem corretamente fornecidos ao utilizador;
- A utilização de um pseudónimo no momento da assinatura ser claramente indicada ao utilizador;
- A assinatura eletrónica ter sido criada por um dispositivo qualificado de criação de assinatura eletrónica;
- A integridade dos dados assinados não ter sido afetada;
- Os requisitos previstos no artigo 26.o se encontrarem preenchidos no momento da assinatura;
- O sistema utilizado para validar a assinatura eletrónica qualificada fornece ao utilizador o resultado correto do processo de validação e permite-lhe detetar eventuais problemas de segurança.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas para a validação de assinaturas eletrónicas qualificadas. A validação de assinaturas eletrónicas qualificadas que seja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 33.o
Serviço qualificado de validação de assinaturas eletrónicas qualificadas
- Os serviços qualificados de validação de assinaturas eletrónicas qualificadas só podem ser prestados por prestadores qualificados de serviços de confiança que:
- Efetuem a validação em conformidade com o artigo 32.o, n.o 1, e
- Permitam aos utilizadores receber o resultado do processo de validação de um modo automático que seja fiável e eficaz e que inclua a assinatura eletrónica avançada ou o selo eletrónico avançado do prestador do serviço qualificado de validação.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas ao serviço qualificado de validação referido no n.o 1. O serviço de validação de assinaturas eletrónicas qualificadas que seja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 34.o
Serviço qualificado de preservação de assinaturas eletrónicas qualificadas
- Os serviços de preservação de assinaturas eletrónicas qualificadas só podem ser prestados por prestadores qualifi cados de serviços de confiança que utilizem procedimentos e tecnologias capazes de prolongar a fiabilidade das assina turas eletrónicas qualificadas para além do prazo de validade tecnológica.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas ao serviço qualificado de preservação de assinaturas eletrónicas qualificadas. As disposições aplicáveis ao serviço qualificado de preservação de assinaturas eletrónicas qualificadas que sejam conformes com essas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 5
Selos eletrónicos
Artigo 35.o
Efeitos legais dos selos eletrónicos
- Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um selo eletrónico pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos dos selos eletrónicos qualificados.
- O selo eletrónico qualificado beneficia da presunção da integridade dos dados e da correção da origem dos dados aos quais está associado.
- Os selos eletrónicos qualificados baseados em certificados qualificados emitidos num Estado-Membro são reconhe cidos como selos eletrónicos qualificados em todos os outros Estados-Membros.
Artigo 36.o
Requisitos para os selos eletrónicos avançados
O selo eletrónico avançado obedece aos seguintes requisitos:
- Estar associado de modo único ao seu criador;
- Permitir identificar o seu criador;
- Ser criado através dos dados de criação de selos eletrónicos cujo criador pode, com um elevado nível de confiança e sob o seu controlo, utilizar para a criação de um selo eletrónico; e
- Estar ligado aos dados a que diz respeito de tal modo que seja detetável qualquer alteração posterior dos dados.
Artigo 37.o
Selos eletrónicos em serviços públicos
- O Estado-Membro que exigir selo eletrónico avançado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconhece os selos eletrónicos avançados, os selos eletrónicos avançados baseados em certificados qualificados para selos eletrónicos e selos eletrónicos qualificados pelo menos que se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.
- O Estado-Membro que exigir selo eletrónico avançado baseado num certificado qualificado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconhece os selos eletrónicos avançados baseados em certificados qualificados para selos eletrónicos e selos eletrónicos qualificados pelo menos que se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.
- Os Estados-Membros não exigem, para a utilização transfronteiriça em serviços em linha prestados por organismos públicos, um selo eletrónico com um nível de garantia de segurança superior ao do selo eletrónico qualificado.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos selos eletrónicos avançados. Os selos eletrónicos avançados conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos para selos eletrónicos avançados referidos nos n.os 1 e 2 do presente artigo e no artigo 36.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
- Até 18 de setembro de 2015, e tendo em conta as práticas, normas e atos jurídicos da União, a Comissão, através de atos de execução, define os formatos de referência dos selos eletrónicos avançados ou os métodos de referência se forem utilizados formatos alternativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 38.o
Certificados qualificados de selos eletrónicos
- Os certificados qualificados de selos eletrónicos devem cumprir os requisitos estabelecidos no anexo III.
- Os certificados qualificados de selos eletrónicos não estão sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no anexo III.
- Os certificados qualificados de selos eletrónicos podem incluir características específicas adicionais não obrigatórias. Tais características não prejudicam a interoperabilidade e o reconhecimento dos selos eletrónicos qualificados.
- Os certificados qualificados de selo eletrónico que tenham sido revogados após a ativação inicial perdem a validade a partir do momento da revogação, não podendo o seu estatuto ser revertido, em nenhuma circunstância.
- Os Estados-Membros podem estabelecer regras nacionais sobre a suspensão temporária dos certificados qualificados de selos eletrónicos na condição de:
- O certificado qualificado de selo eletrónico que tiver sido suspenso temporariamente perder a sua validade durante o período da suspensão;
- O período de suspensão ser claramente indicado na base de dados de certificados e, durante o período pertinente, o estatuto de suspensão ser visível para o serviço que presta informações sobre o estatuto dos certificados.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de selos eletrónicos. Os certificados qualificados de selo eletrónico conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo III. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 39.o
Dispositivos qualificados de criação de selos eletrónicos
- O artigo 29.o aplica-se com as necessárias adaptações aos requisitos exigidos para os dispositivos qualificados de criação de selo eletrónico.
- O artigo 30.o aplica-se com as necessárias adaptações à certificação dos dispositivos qualificados de criação de selo eletrónico.
- O artigo 31.o aplica-se com as necessárias adaptações à publicação da lista de dispositivos qualificados e certificados de criação de selo eletrónico.
Artigo 40.o
Validação e preservação dos selos eletrónicos qualificados
Os artigos 32.o, 33.o e 34.o aplicam-se com as necessárias adaptações à validação e à preservação dos selos eletrónicos qualificados.
SECÇÃO 6
Selos temporais
Artigo 41.o
Efeito legal dos selos temporais
- Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um selo temporal pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos do selo temporal qualificado.
- O selo temporal qualificado beneficia da presunção da exatidão da data e da hora que indica e da integridade dos dados aos quais a data e a hora estão associadas.
- O selo temporal qualificado emitido num Estado-Membro é reconhecido como selo temporal qualificado em todos os Estados-Membros.
Artigo 42.o
Requisitos aplicáveis aos selos temporais qualificados
- Os selos temporais qualificados cumprem os seguintes requisitos:
- Vincular a data e a hora aos dados de forma a tornar razoavelmente impossível a alteração dos dados de forma não detetável;
- Basear-se numa fonte horária precisa ligada à Hora Universal Coordenada; e
- Ser assinado utilizando uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador qualificado de serviços de confiança, ou por outro método equivalente.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas à vinculação da data e da hora aos dados e às fontes horárias precisas. A vinculação da data e da hora aos dados e à fonte horária precisa que sejam conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2
Secção 7
Serviço de envio registado eletrónico
Artigo 43.o
Efeito legal dos serviços de envio registado eletrónico
- Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial aos dados enviados e recebidos com recurso a um serviço de envio registado eletrónico pelo simples facto de se apresentarem em formato eletrónico ou de não cumprirem todos os requisitos do serviço qualificado de envio registado eletrónico.
- Os dados enviados e recebidos com recurso a um serviço qualificado de envio registado eletrónico beneficiam da presunção legal de integridade dos dados, do envio pelo remetente identificado e da receção pelo destinatário identificado dos dados e da exatidão da data e hora de envio e receção dos dados indicados pelo serviço qualificado de envio registado eletrónico.
Artigo 44.o
Requisitos aplicáveis aos serviços qualificados de envio registado eletrónico
- Os serviços qualificados de envio registado eletrónico satisfazem os seguintes requisitos:
- Serem efetuados por um ou mais prestadores qualificados de serviços de confiança;
- Garantirem, com um elevado nível de confiança, a identificação do remetente;
- Garantir a identificação do destinatário antes da entrega dos dados;
- O envio e a receção dos dados serem securizados por uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador qualificado de serviços de confiança, de modo a tornar impossível a alteração dos dados de forma não detetável;
- Qualquer alteração a que devam ser sujeitos para o seu envio ou receção ser claramente indicada ao remetente e ao destinatário dos dados;
- A data e a hora do envio e da receção, assim como as eventuais alterações dos dados, serem indicadas por meio de um selo temporal qualificado;
Se os dados forem transferidos entre dois ou mais prestadores qualificados de serviços de confiança, os requisitos das alíneas a) a f) serem aplicados a todos eles.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos processos de envio e receção de dados. O processo de envio e receção de dados que esteja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 8
Autenticação de sítios web
Artigo 45.o
Requisitos aplicáveis aos certificados qualificados de autenticação de sítios web
- Os certificados qualificados de autenticação de sítios web cumprem os requisitos estabelecidos no anexo IV.
- A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de autenticação de sítios web. O certificado qualificado de autenticação de sítio web que esteja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no anexo IV. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
CAPÍTULO IV
DOCUMENTOS ELETRÓNICOS
Artigo 46.o
Efeitos legais dos documentos eletrónicos
Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um documento eletrónico pelo simples facto de se apresentar em formato eletrónico.
CAPÍTULO V
DELEGAÇÕES DE PODER E DISPOSIÇÕES DE EXECUÇÃO
Artigo 47.o
Exercício da delegação
- O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.
- O poder de adotar os atos delegados referido no artigo 30.o, n.o 4, é conferido à Comissão por prazo indetermi nado, a partir de 17 de setembro de 2014.
- A delegação de poderes referida no artigo 30.o, n.o 4, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.
- Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.
- Os atos delegados adotados nos termos do artigo 30.o, n.o 4, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogado por dois meses por iniciativa do Parlamento Europeu ou do Conselho.
Artigo 48.o
Procedimento de comité
- A Comissão é assistida por um comité. Esse comité deve ser entendido como comité na aceção do Regulamento (UE) n.o 182/2011.
- Caso se faça referência ao presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Artigo 49.o
Entrada em vigor
- O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
- O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:
a) Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3,
24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;
- Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;
- O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o,
n.o 8.
- Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).
- Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o,
n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 23 de julho de 2014.
Pelo Parlamento Europeu O Presidente
M. SCHULZ
Pelo Conselho O Presidente
S. GOZI
ANEXO I
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA
Os certificados qualificados de assinatura eletrónica contêm:
- Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;
- Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
- para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,
- para as pessoas singulares: o nome;
- Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;
- Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;
- A indicação do início e do termo da validade do certificado;
- O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
- A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
- O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);
- A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;
- Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.
ANEXO II
REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS
- Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:
- A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assina turas eletrónicas esteja razoavelmente assegurada;
- Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;
- Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;
- Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.
- Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.
- A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assinaturas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.
- Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:
- A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;
- O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.
ANEXO III
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS
Os certificados qualificados de selos eletrónicos contêm:
- Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;
- Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
- para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,
- para as pessoas singulares: o nome;
- Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;
- Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;
- A indicação do início e do termo da validade do certificado;
- O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
- A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
- O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);
- A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;
- Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.
ANEXO IV
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS
Os certificados qualificados de autenticação de sítios web contêm:
- Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;
- Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
- para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,
- para as pessoas singulares: o nome;
- Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido. A utilização de um pseudónimo deve ser claramente indicada;
Para pessoas coletivas: pelo menos o nome da pessoa coletiva à qual o certificado foi emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;
- Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;
- O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;
- A indicação do início e do termo da validade do certificado;
- O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
- A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
- O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);
- A localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir do estado de validade do certificado qualificado.
Revisão
A Comissão analisa a aplicação do presente regulamento e apresenta um relatório ao Parlamento Europeu e ao Conselho até 1 de julho de 2020. A Comissão avalia nomeadamente se é adequado modificar o âmbito do presente regulamento ou as suas disposições especiais, como o artigo 6.o, o artigo 7.o, alínea f), e os artigos 34.o, 43.o, 44.o e 45.o, tendo em conta a experiência adquirida na aplicação do presente regulamento, bem como a evolução da tecnologia, do mercado e da legislação.
Se necessário, o relatório a que se refere o primeiro parágrafo é acompanhado de propostas legislativas.
Além disso, a intervalos de quatro anos a contar do relatório a que se refere o primeiro parágrafo, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a realização dos objetivos do presente regulamento.
Artigo 50.o
Revogação
- A Diretiva 1999/93/CE é revogada com efeitos a partir de 1 de julho de 2016.
- As referências à diretiva revogada são consideradas referências ao presente regulamento.
Artigo 51.o
Medidas transitórias
- Os dispositivos seguros de criação de assinaturas cuja conformidade tenha sido determinada nos termos do artigo 3.o, n.o 4, da Diretiva 1999/93/CE são considerados dispositivos qualificados de criação de assinaturas eletrónicas na aceção do presente regulamento.
- Os certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE são considerados certificados qualificados de assinatura eletrónica na aceção do presente regulamento até caducarem.
- Os prestadores de serviços de certificação que emitam certificados qualificados em conformidade com a Diretiva 1999/93/CE apresentam um relatório de avaliação da conformidade à entidade supervisora no mais breve prazo, o mais tardar até 1 de julho de 2017. Até o referido relatório de avaliação da conformidade ser apresentado e a entidade supervisora concluir a sua avaliação, consideram-se os prestadores de serviços de certificação como prestadores qualifi cados de serviços de confiança na aceção do presente regulamento.
- Se os prestadores de serviços de certificação que emitem certificados qualificados em conformidade com a Diretiva 1999/93/CE não apresentarem relatório de avaliação da conformidade à entidade supervisora dentro do prazo referido no
n.o 3, deixam de ser considerados como prestadores qualificados de serviços de confiança na aceção do presente regulamento a partir de 2 de julho de 2017.
Artigo 52.o
Artigo 52.o
Entrada em vigor
- O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
- O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:
a) Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3,
24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;
- Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;
- O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o,
n.o 8.
- Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).
- Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o,
n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 23 de julho de 2014.
Pelo Parlamento Europeu O Presidente
M. SCHULZ
Pelo Conselho O Presidente
S. GOZI
ANEXO I
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA
Os certificados qualificados de assinatura eletrónica contêm:
- Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;
- Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
- para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,
- para as pessoas singulares: o nome;
- Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;
- Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;
- A indicação do início e do termo da validade do certificado;
- O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
- A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
- O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);
- A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;
- Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.
ANEXO II
REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS
- Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:
- A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assina turas eletrónicas esteja razoavelmente assegurada;
- Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;
- Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;
- Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.
- Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.
- A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assinaturas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.
- Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:
- A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;
- O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.
ANEXO III
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS
Os certificados qualificados de selos eletrónicos contêm:
- Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;
- Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
- para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,
- para as pessoas singulares: o nome;
- Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;
- Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;
- A indicação do início e do termo da validade do certificado;
- O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
- A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
- O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);
- A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;
- Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.
ANEXO IV
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS
Os certificados qualificados de autenticação de sítios web contêm:
- Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;
- Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
- para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,
- para as pessoas singulares: o nome;
- Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido. A utilização de um pseudónimo deve ser claramente indicada;
Para pessoas coletivas: pelo menos o nome da pessoa coletiva à qual o certificado foi emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;
- Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;
- O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;
- A indicação do início e do termo da validade do certificado;
- O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
- A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
- O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);
- A localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir do estado de validade do certificado qualificado.
O eIDAS é um regulamento da UE sobre identificação eletrônica e serviços de confiança para transações eletrônicas na União Europeia
Foi estabelecido no Regulamento da UE 910/2014, de 23 de julho de 2014, relativo à identificação eletrônica e revoga a Diretiva 1999/93 / CE a partir de 13 de dezembro de 1999.
PDF eIDAS – REGULAMENTO (UE) Nº 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO
eIDAS – SECTION 4 – Electronic signatures
Article 25 – Legal effects of electronic signatures
1. An electronic signature shall not be denied legal effect and admissibility as evidence in legal proceedings solely on the grounds that it is in an electronic form or that it does not meet the requirements for qualified electronic signatures.
2. A qualified electronic signature shall have the equivalent legal effect of a handwritten signature.
3. A qualified electronic signature based on a qualified certificate issued in one Member State shall be recognised as a qualified electronic signature in all other Member States.
Article 26 – Requirements for advanced electronic signatures
An advanced electronic signature shall meet the following requirements:
- it is uniquely linked to the signatory;
- it is capable of identifying the signatory;
- it is created using electronic signature creation data that the signatory can, with a high level of confidence, use under his sole control; and
- it is linked to the data signed therewith in such a way that any subsequent change in the data is detectable.
Article 27 – Electronic signatures in public services
1. If a Member State requires an advanced electronic signature to use an online service offered by, or on behalf of, a public sector body, that Member State shall recognise advanced electronic signatures, advanced electronic signatures based on a qualified certificate for electronic signatures, and qualified electronic signatures in at least the formats or using methods defined in the implementing acts referred to in paragraph 5.
2. If a Member State requires an advanced electronic signature based on a qualified certificate to use an online service offered by, or on behalf of, a public sector body, that Member State shall recognise advanced electronic signatures based on a qualified certificate and qualified electronic signatures in at least the formats or using methods defined in the implementing acts referred to in paragraph 5.
3. Member States shall not request for cross-border use in an online service offered by a public sector body an electronic signature at a higher security level than the qualified electronic signature.
4. The Commission may, by means of implementing acts, establish reference numbers of standards for advanced electronic signatures. Compliance with the requirements for advanced electronic signatures referred to in paragraphs 1 and 2 of this Article and in Article 26 shall be presumed when an advanced electronic signature meets those standards. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).
5. By 18 September 2015, and taking into account existing practices, standards and Union legal acts, the Commission shall, by means of implementing acts, define reference formats of advanced electronic signatures or reference methods where alternative formats are used. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).
Article 28 – Qualified certificates for electronic signatures
1. Qualified certificates for electronic signatures shall meet the requirements laid down in Annex I.
2. Qualified certificates for electronic signatures shall not be subject to any mandatory requirement exceeding the requirements laid down in Annex I.
3. Qualified certificates for electronic signatures may include non-mandatory additional specific attributes. Those attributes shall not affect the interoperability and recognition of qualified electronic signatures.
4. If a qualified certificate for electronic signatures has been revoked after initial activation, it shall lose its validity from the moment of its revocation, and its status shall not in any circumstances be reverted.
5. Subject to the following conditions, Member States may lay down national rules on temporary suspension of a qualified certificate for electronic signature:
(a) if a qualified certificate for electronic signature has been temporarily suspended that certificate shall lose its validity for the period of suspension;
(b) the period of suspension shall be clearly indicated in the certificate database and the suspension status shall be visible, during the period of suspension, from the service providing information on the status of the certificate.
6. The Commission may, by means of implementing acts, establish reference numbers of standards for qualified certificates for electronic signature. Compliance with the requirements laid down in Annex I shall be presumed where a qualified certificate for electronic signature meets those standards. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).
Article 29 – Requirements for qualified electronic signature creation devices
1. Qualified electronic signature creation devices shall meet the requirements laid down in Annex II.
2. The Commission may, by means of implementing acts, establish reference numbers of standards for qualified electronic signature creation devices. Compliance with the requirements laid down in Annex II shall be presumed where a qualified electronic signature creation device meets those standards. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).
Article 30 – Certification of qualified electronic signature creation devices
1. Conformity of qualified electronic signature creation devices with the requirements laid down in Annex II shall be certified by appropriate public or private bodies designated by Member States.
2. Member States shall notify to the Commission the names and addresses of the public or private body referred to in paragraph 1. The Commission shall make that information available to Member States.
3. The certification referred to in paragraph 1 shall be based on one of the following:
(a) a security evaluation process carried out in accordance with one of the standards for the security assessment of information technology products included in the list established in accordance with the second subparagraph; or
(b) a process other than the process referred to in point (a), provided that it uses comparable security levels and provided that the public or private body referred to in paragraph 1 notifies that process to the Commission. That process may be used only in the absence of standards referred to in point (a) or when a security evaluation process referred to in point (a) is ongoing.
The Commission shall, by means of implementing acts, establish a list of standards for the security assessment of information technology products referred to in point (a). Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).
4. The Commission shall be empowered to adopt delegated acts in accordance with Article 47 concerning the establishment of specific criteria to be met by the designated bodies referred to in paragraph 1 of this Article.
Article 31 – Publication of a list of certified qualified electronic signature creation devices
1. Member States shall notify to the Commission without undue delay and no later than one month after the certification is concluded, information on qualified electronic signature creation devices that have been certified by the bodies referred to in Article 30(1). They shall also notify to the Commission, without undue delay and no later than one month after the certification is cancelled, information on electronic signature creation devices that are no longer certified.
2. On the basis of the information received, the Commission shall establish, publish and maintain a list of certified qualified electronic signature creation devices.
3. The Commission may, by means of implementing acts, define formats and procedures applicable for the purpose of paragraph 1. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).
Article 32 – Requirements for the validation of qualified electronic signatures
1. The process for the validation of a qualified electronic signature shall confirm the validity of a qualified electronic signature provided that:
(a) the certificate that supports the signature was, at the time of signing, a qualified certificate for electronic signature complying with Annex I;
(b) the qualified certificate was issued by a qualified trust service provider and was valid at the time of signing;
(c) the signature validation data corresponds to the data provided to the relying party;
(d) the unique set of data representing the signatory in the certificate is correctly provided to the relying party;
(e) the use of any pseudonym is clearly indicated to the relying party if a pseudonym was used at the time of signing;