EIDAS 2014/0910 PT

Tendo em vista assegurar o correto funcionamento do mercado interno e alcançar um nível adequado de segurança dos meios de identificação eletrónica e dos serviços de confiança, o presente regulamento:

a)	Estabelece as condições em que os Estados-Membros reconhecem e aceitam os meios de identificação eletrónica para identificar pessoas singulares e coletivas no quadro de um sistema de identificação eletrónica notificado de outro Estado-Membro;

b)	Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrónicas; e

c)	Institui um quadro legal para as assinaturas eletrónicas, os selos eletrónicos, os selos temporais, os documentos eletrónicos, os serviços de envio registado eletrónico e os serviços de certificados para autenticação de sítios web.

Artigo 3.o

Definições

Para efeitos do presente regulamento, entende-se por:

1) «Identificação eletrónica»: o processo de utilização dos dados de identificação pessoal em formato eletrónico que representam de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa coletiva;

2) «Meio de identificação eletrónica»: uma unidade material e/ou imaterial que contenha os dados de identificação pessoal e que seja utilizada para autenticação de um serviço em linha;

3) «Dados de identificação pessoal»: um conjunto de dados que permitam determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente uma pessoa coletiva;

4) «Sistema de identificação eletrónica»: um sistema de identificação eletrónica ao abrigo do qual sejam produzidos meios de identificação eletrónica para as pessoas singulares ou coletivas, ou para as pessoas singulares que representem pessoas coletivas;

5) «Autenticação»: o processo eletrónico que permite a identificação eletrónica de uma pessoa singular ou coletiva ou da origem e integridade de um dado em formato eletrónico a confirmar;

6) «Utilizador»: a pessoa singular ou coletiva que utiliza a identificação eletrónica ou o serviço de confiança;

7) «Organismo público»: uma entidade estatal nacional, regional ou local, um organismo de direito público ou uma associação formada por uma ou mais dessas entidades ou por um ou mais organismos de direito público, ou uma entidade privada mandatada por, pelo menos, uma dessas autoridades, organismos ou associações como sendo de interesse público, ao abrigo de tal mandato;

8) «Organismo de direito público»: o organismo definido no artigo 2.o, n.o 1, ponto 4), da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (15);

9) «Signatário»: a pessoa singular que cria uma assinatura eletrónica;

10) «Assinatura eletrónica»: os dados em formato eletrónico que se ligam ou estão logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo signatário para assinar;

11) «Assinatura eletrónica avançada»: uma assinatura eletrónica que obedeça aos requisitos estabelecidos no artigo 26.o;

12) «Assinatura eletrónica qualificada»: uma assinatura eletrónica avançada criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica;

13) «Dados para a criação de uma assinatura eletrónica»: o conjunto único de dados que é utilizado pelo signatário para criar uma assinatura eletrónica;

14) «Certificado de assinatura eletrónica»: um atestado eletrónico que associa os dados de validação da assinatura eletrónica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo;

15) «Certificado qualificado de assinatura eletrónica»: um certificado de assinatura eletrónica, que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;

16) «Serviço de confiança»: um serviço eletrónico geralmente prestado mediante remuneração, que consiste:

a)	Na criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados relacionados com estes serviços; ou

b)	Na criação, verificação e validação de certificados para a autenticação de sítios web; ou

c)	Na preservação das assinaturas, selos ou certificados eletrónicos relacionados com esses serviços;

17) «Serviço de confiança qualificado»: um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no presente regulamento;

18) «Organismo de avaliação da conformidade»: o organismo definido no artigo 2.o, n.o 13, do Regulamento (CE) n.o 765/2008, que é acreditado nos termos do mesmo regulamento como sendo competente para realizar a avaliação da conformidade de prestadores qualificados de serviços de confiança e dos serviços de confiança qualificados prestados;

19) «Prestador de serviços de confiança»: a pessoa singular ou coletiva que preste um ou mais do que um serviço de confiança quer como prestador qualificado quer como prestador não qualificado de serviços de confiança;

20) «Prestador qualificado de serviços de confiança»: o prestador de serviços de confiança que preste um ou mais do que um serviço de confiança qualificado e ao qual é concedido o estatuto de qualificado pela entidade supervisora;

21) «Produto»: hardware ou software, ou componentes pertinentes de hardware ou software, que se destinem a ser utilizados para a prestação de serviços de confiança;

22) «Dispositivo de criação de assinaturas eletrónicas»: software ou hardware configurados, utilizados para criar assinaturas eletrónicas;

23) «Dispositivo qualificado de criação de assinaturas eletrónicas»: o dispositivo para a criação de assinaturas eletrónicas que cumpra os requisitos estabelecidos no anexo II;

24) «Criador de um selo»: a pessoa coletiva que cria um selo eletrónico;

25) «Selo eletrónico»: os dados em formato eletrónico apenso ou logicamente associado a outros dados em formato eletrónico para garantir a origem e a integridade destes últimos;

26) «Selo eletrónico avançado»: um selo eletrónico que obedeça aos requisitos estabelecidos no artigo 36.o:

27) «Selo eletrónico qualificado»: selo eletrónico avançado criado por um dispositivo qualificado de criação de selos eletrónicos e que se baseie num certificado qualificado de selo eletrónico;

28) «Dados para a criação de um selo eletrónico»: o conjunto único de dados que seja utilizado pelo criador do selo eletrónico para criar um selo eletrónico;

29) «Certificado de selo eletrónico»: um atestado eletrónico que associa os dados de validação do selo eletrónico a uma pessoa coletiva e confirma o seu nome;

30) «Certificado qualificado de selo eletrónico»: um certificado de selo eletrónico emitido por um prestador qualificado de serviços de confiança que satisfaça os requisitos estabelecidos no anexo III;

31) «Dispositivo de criação de selos eletrónicos»: software ou hardware configurados, utilizados para criar selos eletrónicos;

32) «Dispositivo qualificado de criação de selos eletrónicos»: um dispositivo para a criação de selos eletrónicos que satisfaça mutatis mutandis os requisitos estabelecidos no anexo II;

33) «Selos temporais»: os dados em formato eletrónico que vinculam outros dados em formato eletrónico a uma hora específica, criando uma prova de que esses outros dados existiam nesse momento;

34) «Selo temporal qualificado»: um selo temporal que satisfaça os requisitos estabelecidos no artigo 42.o;

35) «Documento eletrónico»: qualquer conteúdo armazenado em formato eletrónico, nomeadamente texto ou gravação sonora, visual ou audiovisual;

36) «Serviço de envio registado eletrónico»: um serviço que torne possível a transmissão de dados entre terceiros por meios eletrónicos e forneça prova do tratamento dos dados transmitidos, nomeadamente a prova do envio e da receção dos mesmos, e que proteja os dados transferidos contra o risco de perda, roubo, dano ou alteração não autorizada;

37) «Serviço qualificado de envio registado eletrónico»: um serviço de envio registado eletrónico que satisfaça os requisitos estabelecidos no artigo 44.o;

38) «Certificado de autenticação de sítio web»: um atestado que torne possível autenticar um sítio web e associe o sítio web à pessoa singular ou coletiva à qual o certificado tenha sido emitido;

39) «Certificado qualificado de autenticação de sítios web»: um certificado de autenticação de sítios web que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;

40) «Dados de validação»: dados que são utilizados para validar uma assinatura eletrónica ou um selo eletrónico;

41) «Validação»: o processo pelo qual é verificada e confirmada a validade de uma assinatura ou selo eletrónico.

Artigo 24.o

Requisitos aplicáveis aos prestadores qualificados de serviços de confiança

1. Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.

As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:

a)	Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou

À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8.o relativamente aos níveis de garantia «substancial» ou «elevado»; ou

c)	Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou

d)	Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade.

2. Os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados:

a)	Informam a entidade supervisora de todas as alterações à prestação dos seus serviços de confiança qualificados, inclusivamente da intenção de cessação de atividades;

Empregam pessoal e, eventualmente, subcontratantes que possuam a especialização, a confiança, experiência e as qualificações necessárias e que tenham recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais e aplicam procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais;

c)	Face ao risco da responsabilidade por danos prevista no artigo 13.o, conservam recursos financeiros suficientes e/ou adquirem um seguro de responsabilidade adequado, de acordo com a legislação nacional;

d)	Antes de estabelecerem uma relação contratual, informam, de forma clara e completa, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização;

e)	Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte;

Utilizam sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que:

i)	os dados apenas estejam publicamente disponíveis para extração se tiver sido obtido o consentimento da pessoa a quem os dados digam respeito,

ii)	apenas as pessoas autorizadas possam introduzir dados e alterações aos dados armazenados,

iii)	a autenticidade dos dados possa ser verificada;

g)	Tomam as medidas adequadas para prevenir a falsificação e o roubo dos dados;

Registam e mantêm acessíveis durante um prazo adequado, incluindo depois de o prestador qualificado de serviços de confiança ter deixado de prestar esses serviços, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, em particular para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito eletronicamente;

i)	Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 17.o, n.o 4, alínea i);

j)	Garantem um tratamento lícito dos dados pessoais em conformidade com a Diretiva 95/46/CE;

k)	Criam e mantêm atualizada uma base de dados de certificados, quando emitam certificados qualificados.

3. Se os prestadores qualificados de serviços de confiança que emitem certificados qualificados decidirem revogar um certificado, registam a revogação na sua base de dados e publicam-na em tempo útil, mas sempre no prazo de 24 horas após a receção do pedido. A revogação produz efeitos imediatamente após a sua publicação.

4. No que respeita ao disposto no n.o 3, os prestadores qualificados de serviços de confiança que emitam certificados qualificados fornecem a qualquer utilizador informações sobre a validade ou a revogação dos certificados qualificados por eles emitidos. Estas informações são fornecidas pelo menos para cada certificado, em qualquer altura e mesmo após o termo do prazo de validade do certificado, de uma maneira automática que seja fiável, gratuita e eficaz.

5. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos sistemas e produtos fiáveis que cumprem os requisitos constantes do n.o 2, alíneas e) e f). Os sistemas e produtos fiáveis conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no artigo 24.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 4

assinaturas eletrónicas

Artigo 25.o

Efeitos legais das assinaturas eletrónicas

1. Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a uma assinatura eletrónica pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos exigidos para as assinaturas eletrónicas qualificadas.

2. A assinatura eletrónica qualificada tem um efeito legal equivalente ao de uma assinatura manuscrita.

3. As assinaturas eletrónicas qualificadas baseadas em certificados qualificados emitidos num Estado-Membro são reconhecidas como assinatura eletrónica qualificada em todos os outros Estados-Membros.

Artigo 26.o

Requisitos para as assinaturas eletrónicas avançadas

A assinatura eletrónica avançada obedece aos seguintes requisitos:

a)	Estar associada de modo único ao signatário;

b)	Permitir identificar o signatário;

c)	Ser criada utilizando dados para a criação de uma assinatura eletrónica que o signatário pode, com um elevado nível de confiança, utilizar sob o seu controlo exclusivo; e

d)	Estar ligada aos dados por ela assinados de tal modo que seja detetável qualquer alteração posterior dos dados.

Artigo 27.o

assinaturas eletrónicas em serviços públicos

1. O Estado-Membro que exigir assinatura eletrónica avançada para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas, as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

2. O Estado-Membro que exigir assinatura eletrónica avançada baseada num certificado qualificado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

3. Os Estados-Membros não exigem para a utilização transfronteiriça em serviços em linha prestados por organismos públicos, uma assinatura eletrónica com um nível de garantia de segurança superior ao da assinatura eletrónica qualificada.

4. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas às assinaturas eletrónicas avançadas. As assinaturas eletrónicas avançadas conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos aplicáveis às assinaturas eletrónicas avançadas referidos nos n.os 1 e 2 do presente artigo e no artigo 26.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

5. Até 18 de setembro de 2015, e tendo em conta as práticas, normas e atos jurídicos da União, a Comissão, mediante atos de execução, define os formatos de referência das assinaturas eletrónicas avançadas ou os métodos de referência se forem utilizados formatos alternativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 28.o

Certificados qualificados de assinaturas eletrónicas

1. Os certificados qualificados de assinaturas eletrónicas cumprem os requisitos estabelecidos no anexo I.

2. Os certificados qualificados de assinaturas eletrónicas não podem estar sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no anexo I.

3. Os certificados qualificados de assinaturas eletrónicas podem incluir características específicas adicionais não obrigatórias. Tais características não prejudicam a interoperabilidade e o reconhecimento das assinaturas eletrónicas qualificadas.

4. Os certificados qualificados de assinaturas eletrónicas que tenham sido revogados após a ativação inicial perdem a validade a partir do momento da revogação, não podendo o seu estatuto ser revertido, em nenhuma circunstância.

5. Os Estados-Membros podem estabelecer regras nacionais sobre a suspensão temporária dos certificados qualificados de uma assinatura eletrónica na condição de:

a)	O certificado qualificado de assinatura eletrónica que tiver sido suspenso temporariamente perder a sua validade durante o período da suspensão.

b)	O período de suspensão ser claramente indicado na base de dados de certificados e, durante o período pertinente, o estatuto de suspensão ser visível para o serviço que presta informações sobre o estatuto dos certificados.

6. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de assinatura eletrónica. Os certificados qualificados de assinatura eletrónica conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo I. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 29.o

Requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrónicas

1. Os dispositivos qualificados de criação de assinaturas eletrónicas cumprem os requisitos estabelecidos no anexo II.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos dispositivos qualificados de criação de assinaturas eletrónicas. Os dispositivos qualificados de criação de assinaturas eletrónicas conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo II. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 30.o

Certificação dos dispositivos qualificados de criação de assinaturas eletrónicas

1. A conformidade dos dispositivos qualificados de criação de assinaturas eletrónicas com os requisitos estabelecidos no anexo II é certificada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros.

2. Os Estados-Membros comunicam à Comissão a denominação e o endereço da entidade pública ou privada por eles designada, referida no n.o 1. A Comissão põe a informação à disposição dos Estados-Membros.

3. A certificação referida no n.o 1 é baseada:

a)	Num processo de avaliação de segurança executado de acordo com as normas da avaliação de segurança dos produtos informáticos constantes da lista elaborada nos termos do segundo parágrafo; ou

Num processo diferente do referido na alínea a), desde que esse processo utilize níveis de segurança comparáveis e a entidade pública ou privada referida no n.o 1 notifique esse processo à Comissão. Esse processo só pode ser utilizado na falta das normas constantes da alínea a) ou se estiver em curso um processo de avaliação de segurança referido na alínea a).

A Comissão deve, por meio de atos de execução, elaborar a lista de normas da avaliação de segurança dos produtos informáticos a que se refere a alínea a). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 8.o.

4. A Comissão tem poderes para adotar atos delegados nos termos do artigo 47.o para estabelecer os critérios específicos a cumprir pelas entidades designadas referidas no n.o 1 do presente artigo.

Artigo 31.o

Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas

1. Os Estados-Membros comunicam à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos qualificados de criação de assinaturas eletrónicas que tenham sido certificados pelas entidades referidas no artigo 30.o, n.o 1. Comunicam também à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos de criação de assinaturas eletrónicas que deixem de estar certificados.

2. Com base nas informações recebidas, a Comissão elabora, publica e mantém atualizada uma lista dos dispositivos qualificados e certificados de criação de assinaturas eletrónicas.

3. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 32.o

Requisitos aplicáveis à validade das assinaturas eletrónicas qualificadas

1. O processo de validação de uma assinatura eletrónica qualificada confirma a validade desta na condição de:

a)	No momento da assinatura, o certificado que lhe serve de suporte ser um certificado qualificado de assinatura eletrónica conforme com o disposto no anexo I;

b)	O certificado qualificado ter sido emitido por um prestador qualificado de serviços de confiança e ser válido no momento da assinatura;

c)	Os dados para a validação da assinatura corresponderem aos dados fornecidos ao utilizador;

d)	O conjunto único de dados que representam o signatário no certificado serem corretamente fornecidos ao utilizador;

e)	A utilização de um pseudónimo no momento da assinatura ser claramente indicada ao utilizador;

f)	A assinatura eletrónica ter sido criada por um dispositivo qualificado de criação de assinatura eletrónica;

g)	A integridade dos dados assinados não ter sido afetada;

h)	Os requisitos previstos no artigo 26.o se encontrarem preenchidos no momento da assinatura;

2. O sistema utilizado para validar a assinatura eletrónica qualificada fornece ao utilizador o resultado correto do processo de validação e permite-lhe detetar eventuais problemas de segurança.

3. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas para a validação de assinaturas eletrónicas qualificadas. A validação de assinaturas eletrónicas qualificadas que seja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 33.o

Serviço qualificado de validação de assinaturas eletrónicas qualificadas

1. Os serviços qualificados de validação de assinaturas eletrónicas qualificadas só podem ser prestados por prestadores qualificados de serviços de confiança que:

a)	Efetuem a validação em conformidade com o artigo 32.o, n.o 1, e

b)	Permitam aos utilizadores receber o resultado do processo de validação de um modo automático que seja fiável e eficaz e que inclua a assinatura eletrónica avançada ou o selo eletrónico avançado do prestador do serviço qualificado de validação.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas ao serviço qualificado de validação referido no n.o 1. O serviço de validação de assinaturas eletrónicas qualificadas que seja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 34.o

Serviço qualificado de preservação de assinaturas eletrónicas qualificadas

1. Os serviços de preservação de assinaturas eletrónicas qualificadas só podem ser prestados por prestadores qualificados de serviços de confiança que utilizem procedimentos e tecnologias capazes de prolongar a fiabilidade das assinaturas eletrónicas qualificadas para além do prazo de validade tecnológica.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas ao serviço qualificado de preservação de assinaturas eletrónicas qualificadas. As disposições aplicáveis ao serviço qualificado de preservação de assinaturas eletrónicas qualificadas que sejam conformes com essas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 5

Selos eletrónicos

Artigo 51.o

Medidas transitórias

1. Os dispositivos seguros de criação de assinaturas cuja conformidade tenha sido determinada nos termos do artigo 3.o, n.o 4, da Diretiva 1999/93/CE são considerados dispositivos qualificados de criação de assinaturas eletrónicas na aceção do presente regulamento.

2. Os certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE são considerados certificados qualificados de assinatura eletrónica na aceção do presente regulamento até caducarem.

3. Os prestadores de serviços de certificação que emitam certificados qualificados em conformidade com a Diretiva 1999/93/CE apresentam um relatório de avaliação da conformidade à entidade supervisora no mais breve prazo, o mais tardar até 1 de julho de 2017. Até o referido relatório de avaliação da conformidade ser apresentado e a entidade supervisora concluir a sua avaliação, consideram-se os prestadores de serviços de certificação como prestadores qualificados de serviços de confiança na aceção do presente regulamento.

4. Se os prestadores de serviços de certificação que emitem certificados qualificados em conformidade com a Diretiva 1999/93/CE não apresentarem relatório de avaliação da conformidade à entidade supervisora dentro do prazo referido no n.o 3, deixam de ser considerados como prestadores qualificados de serviços de confiança na aceção do presente regulamento a partir de 2 de julho de 2017.

Artigo 52.o

Entrada em vigor

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:

Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3, 24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;

b)	Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;

c)	O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8.

3. Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).

4. Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 23 de julho de 2014.

Pelo Parlamento Europeu

O Presidente

M. SCHULZ

Pelo Conselho

O Presidente

S. GOZI

(1) JO C 351 de 15.11.2012, p. 73.

(2) Posição do Parlamento Europeu de 3 de abril de 2014 (ainda não publicada no Jornal Oficial) e Decisão do Conselho de 23 de julho de 2014.

(3) Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).

(4) JO C 50 E de 21.2.2012, p. 1.

(5) Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(6) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(7) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(8) Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).

(9) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(10) Decisão 2009/767/CE da Comissão, de 16 de outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 274 de 20.10.2009, p. 36).

(11) Decisão 2011/130/UE da Comissão, de 25 de fevereiro de 2011, que estabelece requisitos mínimos para o processamento transfronteiriço de documentos assinados eletronicamente pelas autoridades competentes nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 53 de 26.2.2011, p. 66).

(12) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(13) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(14) JO C 28 de 30.1.2013, p. 6.

(15) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).

ANEXO I

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA

Os certificados qualificados de assinatura eletrónica contêm:

a)	Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;

Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;

d)	Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.

ANEXO II

REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE assinaturas ELETRÓNICAS

Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:

a)	A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;

b)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;

Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;

d)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.

A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assinaturas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.

Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:

a)	A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;

b)	O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.

ANEXO III

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS

Os certificados qualificados de selos eletrónicos contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.

ANEXO IV

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS

Os certificados qualificados de autenticação de sítios web contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido. A utilização de um pseudónimo deve ser claramente indicada;

Para pessoas coletivas: pelo menos o nome da pessoa coletiva à qual o certificado foi emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;

e)	O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;

f)	A indicação do início e do termo da validade do certificado;

g)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

h)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

i)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);

j)	A localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir do estado de validade do certificado qualificado.

whereas

(3) A Diretiva 1999/93/CE do Parlamento Europeu e do Conselho (3) trata das assinaturas eletrónicas sem oferecer um quadro transfronteiriço e transetorial geral que garantisse a segurança, a fiabilidade e a facilidade de realizações das transações eletrónicas.
O presente regulamento melhora e desenvolve as disposições daquela diretiva.

- = -

(6) Nas suas conclusões de 27 de maio de 2011, o Conselho convidou a Comissão a contribuir para o mercado único digital criando as condições necessárias para o reconhecimento mútuo transfronteiriço de tecnologias facilitadoras fundamentais, como a identificação eletrónica, os documentos eletrónicos, as assinaturas eletrónicas e os serviços de entrega eletrónica, e para a implantação de serviços de administração pública em linha interoperáveis em toda a União Europeia.

- = -

(7) O Parlamento Europeu, na sua resolução de 21 de setembro de 2010 sobre a realização do mercado interno do comércio eletrónico (4), realçou a importância da segurança dos serviços eletrónicos — em especial, os de assinaturas eletrónicas — e a necessidade de criar uma infraestrutura de chave pública a nível pan-europeu e instou a Comissão a criar um portal europeu para as autoridades de validação, a fim de assegurar a interoperabilidade transfronteiriça das assinaturas eletrónicas e aumentar a segurança das transações efetuadas através da Internet.

- = -

(48) Embora seja necessário um nível elevado de segurança para garantir o reconhecimento mútuo das assinaturas eletrónicas, em casos específicos, como no contexto da Decisão 2009/767/CE da Comissão (10), deverão igualmente ser aceites assinaturas eletrónicas com menor garantia de segurança.

- = -

(49) O presente regulamento deverá estabelecer o princípio segundo o qual não podem ser negados efeitos legais à assinatura eletrónica pelo facto de se apresentar sob forma eletrónica ou de não cumprir os requisitos da assinatura eletrónica qualificada.
Contudo, o efeito legal das assinaturas eletrónicas nos Estados-Membros deverá ser definido pelo direito nacional, exceto no caso do requisito previsto no presente regulamento nos termos do qual a assinatura eletrónica qualificada deverá ter um efeito legal equivalente ao de uma assinatura manuscrita.

- = -

(51) Os dispositivos qualificados de criação de assinaturas eletrónicas deverão poder ser confiados a terceiros pelo signatário, desde que sejam aplicados mecanismos e procedimentos adequados para garantir que o signatário tenha o controlo exclusivo da utilização dos dados necessários para a criação da sua assinatura eletrónica e que a utilização do dispositivo cumpra os requisitos da assinatura eletrónica qualificada.

- = -

(52) A criação de assinaturas eletrónicas à distância, sendo o ambiente em que são criadas gerido por um prestador de serviços de confiança em nome do signatário, tende a desenvolver-se em razão das suas múltiplas vantagens económicas.
No entanto, a fim de garantir que estas assinaturas eletrónicas beneficiam do mesmo reconhecimento jurídico que as assinaturas eletrónicas criadas num ambiente inteiramente gerido pelo utilizador, os prestadores de serviços de assinatura à distância deverão aplicar procedimentos de segurança, de gestão e de administração específicos e utilizar sistemas e produtos fiáveis, que incluam, nomeadamente, canais de comunicação eletrónica seguros, para garantir a fiabilidade do ambiente de criação de assinaturas eletrónicas e garantir que esse mesmo ambiente é utilizado sob a supervisão exclusiva do signatário.
No caso de assinaturas eletrónicas qualificadas criadas através de dispositivos de criação das assinaturas eletrónicas à distância, deverão aplicar-se os requisitos aplicáveis aos prestadores qualificados de serviços de confiança estabelecidos no presente regulamento.

- = -

(54) A interoperabilidade e o reconhecimento transfronteiriço de certificados qualificados é um requisito prévio do reconhecimento transfronteiriço de assinaturas eletrónicas qualificadas.
Como tal, os certificados qualificados não deverão estar sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no presente regulamento.
Contudo, a nível nacional, deverá ser permitida a inclusão de características específicas, como identificadores únicos, nos certificados qualificados, desde que essas características específicas não prejudiquem a interoperabilidade e o reconhecimento transfronteiriço de certificados qualificados e de assinaturas eletrónicas qualificadas.

- = -

(55) A certificação de segurança informática baseada em normas internacionais (como a ISO 15408 e os métodos de avaliação e acordos de reconhecimento mútuo conexos) é um instrumento importante para verificar a segurança dos dispositivos qualificados de criação de assinaturas eletrónicas, e deverá ser promovida.
Contudo, as soluções e serviços inovadores (como a assinatura móvel, a assinatura em nuvem, etc.) dependem de soluções de ordem técnica e organizativa para os dispositivos qualificados de criação de assinaturas eletrónicas, para os quais ainda não existem normas de segurança ou cuja primeira certificação de segurança informática esteja em curso.
O nível de segurança desses dispositivos qualificados de criação de assinaturas eletrónicas só pode ser avaliado com recurso a processos alternativos quando ainda não existam normas de segurança ou a primeira certificação de segurança informática esteja em curso.
Esses processos deverão ser comparáveis às normas de certificação de segurança informática na medida em que os seus níveis de segurança são equivalentes.
Estes processos poderão ser facilitados por uma avaliação pelos pares.

- = -

(56) O presente regulamento deverá estabelecer os requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrónicas para garantir a funcionalidade das assinaturas eletrónicas avançadas.
O presente regulamento não deverá abranger a totalidade da arquitetura do sistema em que esses dispositivos evoluem.
Desta forma, o âmbito da certificação dos dispositivos qualificados de criação de assinaturas deverá ser limitado ao hardware e ao software do sistema utilizado para gerir e proteger os dados de criação da assinatura criados, conservados ou tratados no dispositivo de criação de assinaturas.
O âmbito da obrigação de certificação, conforme referem as normas aplicáveis, deverá excluir as aplicações de criação de assinaturas.

- = -

(57) Para garantir a segurança jurídica no que respeita à validade da assinatura, é essencial especificar os componentes da assinatura eletrónica qualificada que deverão ser avaliados pelo utilizador que procede à validação.
Além disso, a especificação dos requisitos aplicáveis aos prestadores qualificados de serviços de confiança que podem prestar serviços qualificados de validação a utilizadores que não desejem ou não possam efetuar eles mesmos a validação das assinaturas eletrónicas qualificadas deverá incentivar os setores público e privado a investirem em tais serviços.
Ambos os setores deverão tornar a validação das assinaturas eletrónicas qualificadas fácil e conveniente para todas as partes a nível da União.

- = -

(61) O presente regulamento deverá assegurar a preservação das informações a longo prazo, para assegurar a validade legal das assinaturas e dos selos eletrónicos durante períodos alargados e garantir que possam ser validados independentemente da evolução tecnológica futura.

- = -

(64) Relativamente aos formatos das assinaturas e selos eletrónicos avançados, a Comissão deverá basear-se nas práticas, normas e disposições legislativas existentes, nomeadamente na Decisão 2011/130/UE da Comissão (11).

- = -

(70) A fim de complementar com flexibilidade e rapidez certos aspetos técnicos detalhados do presente regulamento, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito aos critérios a cumprir pelas entidades responsáveis pela certificação de dispositivos qualificados de criação de assinaturas eletrónicas. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos.
A Comissão, quando preparar e redigir atos delegados, deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho.

- = -

(74) Para garantir segurança jurídica aos operadores do mercado que já utilizam certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE, é necessário prever um prazo suficiente para a transição.
Do mesmo modo, deverão ser previstas medidas transitórias para os dispositivos seguros de criação de assinaturas, cuja conformidade tenha sido determinada nos termos da Diretiva 1999/93/CE, e para os prestadores de serviços de certificação que emitam certificados qualificados até 1 de julho de 2016.
Por último, é também necessário dotar a Comissão dos meios que lhe permitam adotar os atos de execução e os atos delegados antes dessa data.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT