EIDAS 2014/0910 PT

1. O presente regulamento aplica-se aos sistemas de identificação eletrónica notificados pelos Estados-Membros e aos prestadores de serviços de confiança estabelecidos na União.

2. O presente regulamento não se aplica à oferta de serviços de confiança utilizados exclusivamente dentro de sistemas fechados que decorram da legislação nacional ou de acordos entre um grupo definido de participantes.

3. O presente regulamento não prejudica as disposições legislativas nacionais ou da União em matéria de celebração e validade de contratos nem outras obrigações legais ou de natureza processual relativas à forma.

Artigo 7.o

Elegibilidade para notificação dos sistemas de identificação eletrónica

Os sistemas de identificação eletrónica podem ser notificados nos termos do artigo 9.o, n.o 1, se estiverem reunidas todas as seguintes condições:

Os meios de identificação eletrónica que integram o sistema de identificação eletrónica serem produzidos:

i)	pelo Estado-Membro notificante,

ii)	por mandato do Estado-Membro notificante, ou

iii)	independentemente do Estado-Membro notificante e serem por ele reconhecidos;

b)	Os meios de identificação eletrónica que integram o sistema de identificação eletrónica poderem ser utilizados para aceder pelo menos a um serviço prestado por um organismo público que exija identificação eletrónica no Estado-Membro notificante;

c)	O sistema de identificação eletrónica e os meios de identificação eletrónica por ele produzidos preencherem os requisitos de pelo menos um dos níveis de garantia estabelecidos no ato de execução a que se refere o artigo 8.o, n.o 3;

O Estado-Membro notificante garantir que os dados de identificação que representam de modo único a pessoa em causa são atribuídos, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3, à pessoa singular ou coletiva referida no artigo 3.o, ponto 1, no momento em que os meios de identificação eletrónica que integram o sistema forem produzidos;

A parte que produz os meios de identificação eletrónica que integram o sistema garantir que os mesmos meios de identificação são atribuídos à pessoa singular ou coletiva a que se refere a alínea d), do presente artigo, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3;

O Estado-Membro notificante garantir a possibilidade de autenticação em linha, para que qualquer utilizador estabelecido no território de outro Estado-Membro possa confirmar os dados de identificação recebidos em formato eletrónico.

Para os utilizadores que não sejam organismos públicos, o Estado-Membro notificante pode definir termos de acesso à referida autenticação. Este tipo de autenticação transfronteiriça é gratuito se for realizado para acesso a um serviço em linha prestado por um organismo público.

Os Estados-Membros não podem impor requisitos técnicos específicos desproporcionados aos utilizadores que pretendam executar essa autenticação, se esses requisitos impedirem ou dificultarem significativamente a interoperabilidade dos sistemas de identificação eletrónica notificados;

No mínimo seis meses antes da notificação prevista no artigo 9.o, n.o 1, o Estado-Membro notificante fornecer aos outros Estados-Membros para cumprimento da obrigação estabelecida no artigo 12.o, n.o 5, uma descrição do sistema, de acordo com as modalidades processuais definidas pelos atos de execução a que se refere o artigo 12.o, n.o 7;

h)	O sistema de identificação eletrónica cumprir os requisitos definidos no ato de execução mencionado no artigo 12.o, n.o 8.

Artigo 9.o

Notificação

1. O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:

a)	Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;

O regime de supervisão e de responsabilidade aplicáveis no que diz respeito:

i)	à parte que produz o meio de identificação eletrónica, e

ii)	à parte que executa o procedimento de autenticação.

c)	Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;

d)	Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;

e)	Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;

f)	Uma descrição da autenticação referida no artigo 7.o, alínea f);

g)	As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.

2. Um ano após a data de aplicação dos atos de execução a que se refere os artigos 8.o, n.o 3, e 12.o, n.o 8, a Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1 do presente artigo e as informações básicas a eles respeitantes.

3. Se receber uma notificação após o termo do prazo referido no n.o 2, a Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.o 2 num prazo de dois meses a contar da data da receção da notificação.

4. Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 2 os sistemas de identificação eletrónica que tenham notificado. A Comissão publica no Jornal Oficial da União Europeia as correspondentes alterações à lista no prazo de um mês após a receção do pedido do Estado-Membro.

5. A Comissão pode, por meio de atos de execução, definir as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 12.o

Cooperação e interoperabilidade

1. Os sistemas nacionais de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1 são interoperáveis.

2. Para efeitos do requisito previsto no n.o 1, é estabelecido o quadro de interoperabilidade.

3. O quadro de interoperabilidade obedece aos seguintes critérios:

a)	Procurar ser tecnologicamente neutro e não fazer discriminações em relação às soluções técnicas nacionais específicas utilizadas para a identificação eletrónica no Estado-Membro em causa;

b)	Seguir, se possível, as normas europeias e internacionais;

c)	Facilitar a aplicação do princípio da privacidade desde a conceção; e

d)	Assegurar que os dados pessoais são tratados nos termos da Diretiva 95/46/CE.

4. O quadro de interoperabilidade compreende:

a)	A referência aos requisitos técnicos mínimos relacionados com os níveis de garantia previstos no artigo 8.o;

b)	A tabela das correspondências entre os níveis de garantia nacionais dos sistemas de identificação eletrónica notificados e os níveis de garantia previstos no artigo 8.o;

c)	A referência aos requisitos técnicos mínimos para a interoperabilidade;

d)	A referência a um conjunto mínimo de dados de identificação que representem de modo único uma pessoa singular ou coletiva, produzido por sistemas de identificação eletrónica;

e)	As regras processuais;

f)	As disposições em matéria de resolução de litígios; e

g)	As normas comuns de segurança operacional.

5. Os Estados-Membros cooperam nas seguintes matérias:

a)	Interoperabilidade dos sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, e dos sistemas de identificação eletrónica que os Estados-Membros pretendem notificar; e

b)	Segurança dos sistemas de identificação eletrónica.

6. A cooperação entre os Estados-Membros compreende:

a)	O intercâmbio de informações, experiências e boas práticas relativamente aos sistemas de identificação eletrónica, nomeadamente no que respeita aos requisitos técnicos relacionados com a interoperabilidade e os níveis de garantia;

b)	O intercâmbio de informações, experiência e boas práticas relativamente aos níveis de garantia de sistemas de identificação eletrónica previstos no artigo 8.o;

c)	A avaliação pelos pares dos sistemas de identificação eletrónica abrangidos pelo presente regulamento; e

d)	A análise dos aspetos importantes da evolução do setor da identificação eletrónica.

7. Até 18 de março de 2015, a Comissão estabelece, por meio de atos de execução, as necessárias modalidades processuais de facilitação da cooperação entre os Estados-Membros a que se referem os n.os 5 e 6, tendo em vista promover um nível elevado de confiança e segurança, adequado ao grau de risco.

8. Até 18 de setembro de 2015, para efeitos da definição das condições uniformes para o cumprimento do requisito referido no n.o 1, a Comissão, sob reserva dos critérios estabelecidos no n.o 3 e tendo em conta os resultados da cooperação entre os Estados-Membros, adota atos de execução referentes ao quadro de interoperabilidade tal como é definido no n.o 4.

9. Os atos de execução referidos nos n.os 7 e 8 são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

CAPÍTULO III

SERVIÇOS DE CONFIANÇA

SECÇÃO 1

Disposições gerais

Artigo 24.o

Requisitos aplicáveis aos prestadores qualificados de serviços de confiança

1. Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.

As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:

a)	Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou

À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8.o relativamente aos níveis de garantia «substancial» ou «elevado»; ou

c)	Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou

d)	Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade.

2. Os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados:

a)	Informam a entidade supervisora de todas as alterações à prestação dos seus serviços de confiança qualificados, inclusivamente da intenção de cessação de atividades;

Empregam pessoal e, eventualmente, subcontratantes que possuam a especialização, a confiança, experiência e as qualificações necessárias e que tenham recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais e aplicam procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais;

c)	Face ao risco da responsabilidade por danos prevista no artigo 13.o, conservam recursos financeiros suficientes e/ou adquirem um seguro de responsabilidade adequado, de acordo com a legislação nacional;

d)	antes de estabelecerem uma relação contratual, informam, de forma clara e completa, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização;

e)	Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte;

Utilizam sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que:

i)	os dados apenas estejam publicamente disponíveis para extração se tiver sido obtido o consentimento da pessoa a quem os dados digam respeito,

ii)	apenas as pessoas autorizadas possam introduzir dados e alterações aos dados armazenados,

iii)	a autenticidade dos dados possa ser verificada;

g)	Tomam as medidas adequadas para prevenir a falsificação e o roubo dos dados;

Registam e mantêm acessíveis durante um prazo adequado, incluindo depois de o prestador qualificado de serviços de confiança ter deixado de prestar esses serviços, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, em particular para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito eletronicamente;

i)	Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 17.o, n.o 4, alínea i);

j)	Garantem um tratamento lícito dos dados pessoais em conformidade com a Diretiva 95/46/CE;

k)	Criam e mantêm atualizada uma base de dados de certificados, quando emitam certificados qualificados.

3. Se os prestadores qualificados de serviços de confiança que emitem certificados qualificados decidirem revogar um certificado, registam a revogação na sua base de dados e publicam-na em tempo útil, mas sempre no prazo de 24 horas após a receção do pedido. A revogação produz efeitos imediatamente após a sua publicação.

4. No que respeita ao disposto no n.o 3, os prestadores qualificados de serviços de confiança que emitam certificados qualificados fornecem a qualquer utilizador informações sobre a validade ou a revogação dos certificados qualificados por eles emitidos. Estas informações são fornecidas pelo menos para cada certificado, em qualquer altura e mesmo após o termo do prazo de validade do certificado, de uma maneira automática que seja fiável, gratuita e eficaz.

5. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos sistemas e produtos fiáveis que cumprem os requisitos constantes do n.o 2, alíneas e) e f). Os sistemas e produtos fiáveis conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no artigo 24.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 4

Assinaturas eletrónicas

Artigo 30.o

Certificação dos dispositivos qualificados de criação de assinaturas eletrónicas

1. A conformidade dos dispositivos qualificados de criação de assinaturas eletrónicas com os requisitos estabelecidos no anexo II é certificada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros.

2. Os Estados-Membros comunicam à Comissão a denominação e o endereço da entidade pública ou privada por eles designada, referida no n.o 1. A Comissão põe a informação à disposição dos Estados-Membros.

3. A certificação referida no n.o 1 é baseada:

a)	Num processo de avaliação de segurança executado de acordo com as normas da avaliação de segurança dos produtos informáticos constantes da lista elaborada nos termos do segundo parágrafo; ou

Num processo diferente do referido na alínea a), desde que esse processo utilize níveis de segurança comparáveis e a entidade pública ou privada referida no n.o 1 notifique esse processo à Comissão. Esse processo só pode ser utilizado na falta das normas constantes da alínea a) ou se estiver em curso um processo de avaliação de segurança referido na alínea a).

A Comissão deve, por meio de atos de execução, elaborar a lista de normas da avaliação de segurança dos produtos informáticos a que se refere a alínea a). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 8.o.

4. A Comissão tem poderes para adotar atos delegados nos termos do artigo 47.o para estabelecer os critérios específicos a cumprir pelas entidades designadas referidas no n.o 1 do presente artigo.

Artigo 44.o

Requisitos aplicáveis aos serviços qualificados de envio registado eletrónico

1. Os serviços qualificados de envio registado eletrónico satisfazem os seguintes requisitos:

a)	Serem efetuados por um ou mais prestadores qualificados de serviços de confiança;

b)	Garantirem, com um elevado nível de confiança, a identificação do remetente;

c)	Garantir a identificação do destinatário antes da entrega dos dados;

d)	O envio e a receção dos dados serem securizados por uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador qualificado de serviços de confiança, de modo a tornar impossível a alteração dos dados de forma não detetável;

e)	Qualquer alteração a que devam ser sujeitos para o seu envio ou receção ser claramente indicada ao remetente e ao destinatário dos dados;

f)	A data e a hora do envio e da receção, assim como as eventuais alterações dos dados, serem indicadas por meio de um selo temporal qualificado;

Se os dados forem transferidos entre dois ou mais prestadores qualificados de serviços de confiança, os requisitos das alíneas a) a f) serem aplicados a todos eles.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos processos de envio e receção de dados. O processo de envio e receção de dados que esteja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 8

Autenticação de sítios web

Artigo 47.o

Exercício da delegação

1. O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2. O poder de adotar os atos delegados referido no artigo 30.o, n.o 4, é conferido à Comissão por prazo indeterminado, a partir de 17 de setembro de 2014.

3. A delegação de poderes referida no artigo 30.o, n.o 4, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4. Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

5. Os atos delegados adotados nos termos do artigo 30.o, n.o 4, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogado por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 52.o

Entrada em vigor

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:

Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3, 24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;

b)	Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;

c)	O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8.

3. Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).

4. Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 23 de julho de 2014.

Pelo Parlamento Europeu

O Presidente

M. SCHULZ

Pelo Conselho

O Presidente

S. GOZI

(1) JO C 351 de 15.11.2012, p. 73.

(2) Posição do Parlamento Europeu de 3 de abril de 2014 (ainda não publicada no Jornal Oficial) e Decisão do Conselho de 23 de julho de 2014.

(3) Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).

(4) JO C 50 E de 21.2.2012, p. 1.

(5) Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(6) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(7) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(8) Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).

(9) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(10) Decisão 2009/767/CE da Comissão, de 16 de outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 274 de 20.10.2009, p. 36).

(11) Decisão 2011/130/UE da Comissão, de 25 de fevereiro de 2011, que estabelece requisitos mínimos para o processamento transfronteiriço de documentos assinados eletronicamente pelas autoridades competentes nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 53 de 26.2.2011, p. 66).

(12) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(13) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(14) JO C 28 de 30.1.2013, p. 6.

(15) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).

ANEXO I

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA

Os certificados qualificados de assinatura eletrónica contêm:

a)	Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;

Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;

d)	Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.

ANEXO II

REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS

Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:

a)	A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;

b)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;

Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;

d)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.

A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assinaturas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.

Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:

a)	A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;

b)	O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.

ANEXO III

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS

Os certificados qualificados de selos eletrónicos contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.

ANEXO IV

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS

Os certificados qualificados de autenticação de sítios web contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido. A utilização de um pseudónimo deve ser claramente indicada;

Para pessoas coletivas: pelo menos o nome da pessoa coletiva à qual o certificado foi emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;

e)	O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;

f)	A indicação do início e do termo da validade do certificado;

g)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

h)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

i)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);

j)	A localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir do estado de validade do certificado qualificado.

whereas

(14) Há que estabelecer no regulamento algumas condições respeitantes aos meios de identificação eletrónica que têm imperativamente de ser reconhecidos e ao modo como os sistemas de identificação eletrónica deverão ser notificados.
Tais condições deverão ajudar os Estados-Membros a ganhar a confiança necessária nos respetivos sistemas de identificação eletrónica e a reconhecer mutuamente os meios de identificação eletrónica previstos nos seus sistemas notificados.
O princípio do reconhecimento mútuo deverá aplicar-se se o sistema de identificação eletrónica do Estado-Membro notificante satisfizer as condições de notificação e se a notificação tiver sido publicada no Jornal Oficial da União Europeia.
Contudo, o princípio só deverá dizer respeito à autenticação para acesso a um serviço em linha.
O acesso a esses serviços em linha e a sua prestação final ao requerente deverão estar estreitamente ligados ao direito a beneficiar de tais serviços nas condições estabelecidas pela legislação nacional.

- = -

(16) Os níveis de garantia deverão caracterizar o nível de confiança de um meio de identificação eletrónica na determinação da identidade de uma pessoa, garantindo assim que quem declara ter determinada identidade é de facto a pessoa a quem essa identidade foi atribuída.
O nível de garantia depende do nível de confiança que os meios de identificação eletrónica conferem a respeito da identidade declarada ou reivindicada por uma pessoa tendo em conta os processos (por exemplo, prova e verificação da identidade e autenticação), as atividades de gestão (por exemplo, a entidade que produz os meios de identificação eletrónica e o procedimento para produzir esses meios) e os controlos técnicos aplicados.
Existem diversas definições técnicas e descrições dos níveis de garantia resultantes de projetos-piloto de grande escala financiados a nível da União, da normalização e das atividades internacionais.
Em particular, o projeto de grande escala STORK e a norma ISO 29115 referem, entre outras coisas, os níveis 2, 3 e 4, que deverão ser tidos na máxima conta ao estabelecer os requisitos técnicos mínimos, as normas e os procedimentos para os níveis de garantia reduzido, substancial e elevado, na aceção do presente regulamento, garantindo simultaneamente a aplicação coerente do presente regulamento, nomeadamente em relação ao nível de garantia elevado de prova da identidade para a emissão de certificados qualificados.
Os requisitos criados deverão ser tecnologicamente neutros.
Deverá ser possível satisfazer os requisitos de segurança necessários por meio de diferentes tecnologias.

- = -

(21) O presente regulamento deverá igualmente estabelecer um quadro legal geral para a utilização dos serviços de confiança.
Contudo, não deverá criar uma obrigação geral de utilização dos mesmos nem de instalação de um ponto de acesso para todos os serviços de confiança existentes.
Designadamente, não deverá abranger a prestação de serviços utilizados exclusivamente dentro de sistemas fechados entre um grupo determinado de participantes, sem consequências para terceiros.
Por exemplo, os sistemas que sejam criados em empresas ou administrações públicas para a gestão de procedimentos internos e que recorram a serviços de confiança não deverão ficar sujeitos aos requisitos do presente regulamento.
Apenas os serviços de confiança prestados ao público com consequências para terceiros deverão cumprir os requisitos estabelecidos no presente regulamento.
O presente regulamento também não deverá abranger os aspetos relacionados com a celebração e a validade de contratos ou outras obrigações legais quando estes estabeleçam requisitos de caráter formal previstos na legislação nacional ou da União.
Além disso, ele não deverá afetar os requisitos nacionais de forma aplicáveis aos registos públicos, em particular, registos comerciais e prediais.

- = -

(43) Para verificar que os prestadores qualificados de serviços de confiança e os serviços qualificados por eles prestados cumprem os requisitos do regulamento, deverão ser realizadas avaliações de conformidade por um organismo de avaliação da conformidade e os relatórios da avaliação da conformidade daí resultantes ser submetidos à entidade supervisora pelos prestadores qualificados de serviços de confiança.
Quando a entidade supervisora exigir que um prestador qualificado de serviços de confiança apresente um relatório ad hoc de avaliação da conformidade, a entidade supervisora deverá respeitar, nomeadamente, o princípio da boa administração, inclusive a obrigação de fundamentar as suas decisões, e o princípio da proporcionalidade.
Como tal, a entidade supervisora deverá fundamentar devidamente a sua decisão de exigir uma avaliação ad hoc da conformidade.

- = -

(63) Os documentos eletrónicos são importantes para o futuro desenvolvimento das transações eletrónicas transfronteiriças no mercado interno.
O presente regulamento deverá estabelecer o princípio segundo o qual não podem ser recusados efeitos legais a um documento eletrónico pelo facto de se apresentar em formato eletrónico garantindo que que nenhuma transação eletrónica é rejeitada pelo facto de o documento se apresentar em formato eletrónico.

- = -

(67) Os serviços de autenticação de sítios web fornecem meios que dão aos visitantes de um sítio web a garantia de que existe uma entidade genuína e legítima responsável pelo sítio.
Estes serviços contribuem para a criação de segurança e confiança na realização de negócios em linha, pois os utilizadores terão confiança nos sítios web que tenham sido autenticados.
A prestação e utilização dos serviços de autenticação de sítios web são inteiramente voluntárias.
Contudo, para que a autenticação de sítios web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e estimular o crescimento no mercado interno, o presente regulamento deverá estabelecer obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos prestadores e pelos serviços por eles prestados.
Para esse efeito, foram tidos em conta os resultados de atuais iniciativas do setor (por exemplo, Fórum de Autoridades de Certificação/Browsers — CA/B Fórum).
Além disso, o presente regulamento não deverá impedir a utilização de outros meios ou métodos para autenticar um sítio web não abrangido pelo presente regulamento, nem deverá impedir que os prestadores de países terceiros prestem os seus serviços de autenticação de sítios web a clientes na União.
Todavia, em conformidade com o presente regulamento, os serviços de autenticação de sítios web de prestadores de países terceiros só deverão ser reconhecidos como qualificados se tiver sido celebrado um acordo internacional entre a União e o país de estabelecimento do prestador.

- = -

(70) A fim de complementar com flexibilidade e rapidez certos aspetos técnicos detalhados do presente regulamento, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito aos critérios a cumprir pelas entidades responsáveis pela certificação de dispositivos qualificados de criação de assinaturas eletrónicas. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos.
A Comissão, quando preparar e redigir atos delegados, deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho.

- = -

(74) Para garantir segurança jurídica aos operadores do mercado que já utilizam certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE, é necessário prever um prazo suficiente para a transição.
Do mesmo modo, deverão ser previstas medidas transitórias para os dispositivos seguros de criação de assinaturas, cuja conformidade tenha sido determinada nos termos da Diretiva 1999/93/CE, e para os prestadores de serviços de certificação que emitam certificados qualificados até 1 de julho de 2016.
Por último, é também necessário dotar a Comissão dos meios que lhe permitam adotar os atos de execução e os atos delegados antes dessa data.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT