EIDAS 2014/0910 PT

Tendo em vista assegurar o correto funcionamento do mercado interno e alcançar um nível adequado de segurança dos meios de identificação eletrónica e dos serviços de confiança, o presente regulamento:

a)	Estabelece as condições em que os Estados-Membros reconhecem e aceitam os meios de identificação eletrónica para identificar pessoas singulares e coletivas no quadro de um sistema de identificação eletrónica notificado de outro Estado-Membro;

b)	Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrónicas; e

c)	Institui um quadro legal para as assinaturas eletrónicas, os selos eletrónicos, os selos temporais, os documentos eletrónicos, os serviços de envio registado eletrónico e os serviços de certificados para autenticação de sítios web.

Artigo 3.o

Definições

Para efeitos do presente regulamento, entende-se por:

1) «Identificação eletrónica»: o processo de utilização dos dados de identificação pessoal em formato eletrónico que representam de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa coletiva;

2) «Meio de identificação eletrónica»: uma unidade material e/ou imaterial que contenha os dados de identificação pessoal e que seja utilizada para autenticação de um serviço em linha;

3) «Dados de identificação pessoal»: um conjunto de dados que permitam determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente uma pessoa coletiva;

4) «Sistema de identificação eletrónica»: um sistema de identificação eletrónica ao abrigo do qual sejam produzidos meios de identificação eletrónica para as pessoas singulares ou coletivas, ou para as pessoas singulares que representem pessoas coletivas;

5) «autenticação»: o processo eletrónico que permite a identificação eletrónica de uma pessoa singular ou coletiva ou da origem e integridade de um dado em formato eletrónico a confirmar;

6) «Utilizador»: a pessoa singular ou coletiva que utiliza a identificação eletrónica ou o serviço de confiança;

7) «Organismo público»: uma entidade estatal nacional, regional ou local, um organismo de direito público ou uma associação formada por uma ou mais dessas entidades ou por um ou mais organismos de direito público, ou uma entidade privada mandatada por, pelo menos, uma dessas autoridades, organismos ou associações como sendo de interesse público, ao abrigo de tal mandato;

8) «Organismo de direito público»: o organismo definido no artigo 2.o, n.o 1, ponto 4), da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (15);

9) «Signatário»: a pessoa singular que cria uma assinatura eletrónica;

10) «Assinatura eletrónica»: os dados em formato eletrónico que se ligam ou estão logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo signatário para assinar;

11) «Assinatura eletrónica avançada»: uma assinatura eletrónica que obedeça aos requisitos estabelecidos no artigo 26.o;

12) «Assinatura eletrónica qualificada»: uma assinatura eletrónica avançada criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica;

13) «Dados para a criação de uma assinatura eletrónica»: o conjunto único de dados que é utilizado pelo signatário para criar uma assinatura eletrónica;

14) «Certificado de assinatura eletrónica»: um atestado eletrónico que associa os dados de validação da assinatura eletrónica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo;

15) «Certificado qualificado de assinatura eletrónica»: um certificado de assinatura eletrónica, que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;

16) «Serviço de confiança»: um serviço eletrónico geralmente prestado mediante remuneração, que consiste:

a)	Na criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados relacionados com estes serviços; ou

b)	Na criação, verificação e validação de certificados para a autenticação de sítios web; ou

c)	Na preservação das assinaturas, selos ou certificados eletrónicos relacionados com esses serviços;

17) «Serviço de confiança qualificado»: um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no presente regulamento;

18) «Organismo de avaliação da conformidade»: o organismo definido no artigo 2.o, n.o 13, do Regulamento (CE) n.o 765/2008, que é acreditado nos termos do mesmo regulamento como sendo competente para realizar a avaliação da conformidade de prestadores qualificados de serviços de confiança e dos serviços de confiança qualificados prestados;

19) «Prestador de serviços de confiança»: a pessoa singular ou coletiva que preste um ou mais do que um serviço de confiança quer como prestador qualificado quer como prestador não qualificado de serviços de confiança;

20) «Prestador qualificado de serviços de confiança»: o prestador de serviços de confiança que preste um ou mais do que um serviço de confiança qualificado e ao qual é concedido o estatuto de qualificado pela entidade supervisora;

21) «Produto»: hardware ou software, ou componentes pertinentes de hardware ou software, que se destinem a ser utilizados para a prestação de serviços de confiança;

22) «Dispositivo de criação de assinaturas eletrónicas»: software ou hardware configurados, utilizados para criar assinaturas eletrónicas;

23) «Dispositivo qualificado de criação de assinaturas eletrónicas»: o dispositivo para a criação de assinaturas eletrónicas que cumpra os requisitos estabelecidos no anexo II;

24) «Criador de um selo»: a pessoa coletiva que cria um selo eletrónico;

25) «Selo eletrónico»: os dados em formato eletrónico apenso ou logicamente associado a outros dados em formato eletrónico para garantir a origem e a integridade destes últimos;

26) «Selo eletrónico avançado»: um selo eletrónico que obedeça aos requisitos estabelecidos no artigo 36.o:

27) «Selo eletrónico qualificado»: selo eletrónico avançado criado por um dispositivo qualificado de criação de selos eletrónicos e que se baseie num certificado qualificado de selo eletrónico;

28) «Dados para a criação de um selo eletrónico»: o conjunto único de dados que seja utilizado pelo criador do selo eletrónico para criar um selo eletrónico;

29) «Certificado de selo eletrónico»: um atestado eletrónico que associa os dados de validação do selo eletrónico a uma pessoa coletiva e confirma o seu nome;

30) «Certificado qualificado de selo eletrónico»: um certificado de selo eletrónico emitido por um prestador qualificado de serviços de confiança que satisfaça os requisitos estabelecidos no anexo III;

31) «Dispositivo de criação de selos eletrónicos»: software ou hardware configurados, utilizados para criar selos eletrónicos;

32) «Dispositivo qualificado de criação de selos eletrónicos»: um dispositivo para a criação de selos eletrónicos que satisfaça mutatis mutandis os requisitos estabelecidos no anexo II;

33) «Selos temporais»: os dados em formato eletrónico que vinculam outros dados em formato eletrónico a uma hora específica, criando uma prova de que esses outros dados existiam nesse momento;

34) «Selo temporal qualificado»: um selo temporal que satisfaça os requisitos estabelecidos no artigo 42.o;

35) «Documento eletrónico»: qualquer conteúdo armazenado em formato eletrónico, nomeadamente texto ou gravação sonora, visual ou audiovisual;

36) «Serviço de envio registado eletrónico»: um serviço que torne possível a transmissão de dados entre terceiros por meios eletrónicos e forneça prova do tratamento dos dados transmitidos, nomeadamente a prova do envio e da receção dos mesmos, e que proteja os dados transferidos contra o risco de perda, roubo, dano ou alteração não autorizada;

37) «Serviço qualificado de envio registado eletrónico»: um serviço de envio registado eletrónico que satisfaça os requisitos estabelecidos no artigo 44.o;

38) «Certificado de autenticação de sítio web»: um atestado que torne possível autenticar um sítio web e associe o sítio web à pessoa singular ou coletiva à qual o certificado tenha sido emitido;

39) «Certificado qualificado de autenticação de sítios web»: um certificado de autenticação de sítios web que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;

40) «Dados de validação»: dados que são utilizados para validar uma assinatura eletrónica ou um selo eletrónico;

41) «Validação»: o processo pelo qual é verificada e confirmada a validade de uma assinatura ou selo eletrónico.

Artigo 6.o

Reconhecimento mútuo

1. Quando, para aceder a um serviço em linha prestado por um organismo público de um Estado-Membro, seja exigida, ao abrigo da legislação ou nos termos da prática administrativa nacional, uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação, o meio de identificação eletrónica produzido noutro Estado-Membro é reconhecido no primeiro Estado-Membro para efeitos de autenticação transfronteiriço para o referido serviço em linha, se estiverem reunidas as seguintes condições:

a)	O meio de identificação eletrónica ser produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o;

O nível de garantia do meio de identificação eletrónica corresponder a um nível de garantia igual ou superior ao exigido pelo organismo público para o acesso ao serviço em linha no primeiro Estado-Membro, desde que o nível de garantia do referido meio de identificação eletrónica corresponda ao nível substancial ou elevado;

c)	O organismo público em causa utilizar o nível de garantia substancial ou elevado para conceder acesso ao referido serviço em linha.

O reconhecimento é efetuado num prazo de 12 meses após a Comissão ter publicado, a lista a que se refere a alínea a) do primeiro parágrafo.

2. O meio de identificação eletrónica produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o, e correspondente ao nível de garantia baixo, pode ser reconhecido pelos organismos públicos para efeitos de autenticação transfronteiriça para conceder acesso ao serviço prestado em linha por esses mesmos organismos.

Artigo 7.o

Elegibilidade para notificação dos sistemas de identificação eletrónica

Os sistemas de identificação eletrónica podem ser notificados nos termos do artigo 9.o, n.o 1, se estiverem reunidas todas as seguintes condições:

Os meios de identificação eletrónica que integram o sistema de identificação eletrónica serem produzidos:

i)	pelo Estado-Membro notificante,

ii)	por mandato do Estado-Membro notificante, ou

iii)	independentemente do Estado-Membro notificante e serem por ele reconhecidos;

b)	Os meios de identificação eletrónica que integram o sistema de identificação eletrónica poderem ser utilizados para aceder pelo menos a um serviço prestado por um organismo público que exija identificação eletrónica no Estado-Membro notificante;

c)	O sistema de identificação eletrónica e os meios de identificação eletrónica por ele produzidos preencherem os requisitos de pelo menos um dos níveis de garantia estabelecidos no ato de execução a que se refere o artigo 8.o, n.o 3;

O Estado-Membro notificante garantir que os dados de identificação que representam de modo único a pessoa em causa são atribuídos, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3, à pessoa singular ou coletiva referida no artigo 3.o, ponto 1, no momento em que os meios de identificação eletrónica que integram o sistema forem produzidos;

A parte que produz os meios de identificação eletrónica que integram o sistema garantir que os mesmos meios de identificação são atribuídos à pessoa singular ou coletiva a que se refere a alínea d), do presente artigo, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3;

O Estado-Membro notificante garantir a possibilidade de autenticação em linha, para que qualquer utilizador estabelecido no território de outro Estado-Membro possa confirmar os dados de identificação recebidos em formato eletrónico.

Para os utilizadores que não sejam organismos públicos, o Estado-Membro notificante pode definir termos de acesso à referida autenticação. Este tipo de autenticação transfronteiriça é gratuito se for realizado para acesso a um serviço em linha prestado por um organismo público.

Os Estados-Membros não podem impor requisitos técnicos específicos desproporcionados aos utilizadores que pretendam executar essa autenticação, se esses requisitos impedirem ou dificultarem significativamente a interoperabilidade dos sistemas de identificação eletrónica notificados;

No mínimo seis meses antes da notificação prevista no artigo 9.o, n.o 1, o Estado-Membro notificante fornecer aos outros Estados-Membros para cumprimento da obrigação estabelecida no artigo 12.o, n.o 5, uma descrição do sistema, de acordo com as modalidades processuais definidas pelos atos de execução a que se refere o artigo 12.o, n.o 7;

h)	O sistema de identificação eletrónica cumprir os requisitos definidos no ato de execução mencionado no artigo 12.o, n.o 8.

Artigo 8.o

Níveis de garantia dos sistemas de identificação eletrónica

1. Os sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, especificam os níveis de garantia reduzidos, substanciais e/ou elevados para os meios de identificação eletrónica neles produzidos.

2. Os níveis de garantia reduzidos, substanciais e elevados cumprem, respetivamente, os seguintes critérios:

O nível de garantia reduzido corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança limitado relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de utilização ou alteração indevida da identidade;

O nível de garantia substancial corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança substancial relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de utilização ou alteração indevida da identidade;

O nível de garantia elevado corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança relativamente à identidade declarada ou reivindicada por determinada pessoa mais elevado do que os meios de identificação eletrónica com o nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é evitar a utilização ou a alteração indevida da identidade.

3. Até 18 de setembro de 2015, tendo em conta as normas internacionais aplicáveis e sob reserva do n.o 2, a Comissão define, por meio de atos de execução, as especificações técnicas mínimas, as normas e os procedimentos que devem servir de referência para a especificação dos níveis de garantia reduzido, substancial e elevado para meios de identificação eletrónica para efeitos do n.o 1.

As especificações técnicas mínimas, as normas e os procedimentos são estabelecidos por referência à confiança e qualidade:

a)	Do procedimento para provar e verificar a identidade das pessoas singulares ou coletivas que requeiram a produção do meio de identificação eletrónica;

b)	Do procedimento para a produção do meio de identificação eletrónica solicitado;

c)	Do mecanismo de autenticação através do qual a pessoa singular ou coletiva utiliza o meio de identificação eletrónica para confirmar a sua identidade a um utilizador;

d)	Da entidade que produz os meios de identificação eletrónica;

e)	De qualquer outro organismo implicado no processo de requisição da produção do meio de identificação eletrónica; e

f)	Das especificações técnicas e de segurança do meio de identificação eletrónica produzido.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 9.o

Notificação

1. O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:

a)	Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;

O regime de supervisão e de responsabilidade aplicáveis no que diz respeito:

i)	à parte que produz o meio de identificação eletrónica, e

ii)	à parte que executa o procedimento de autenticação.

c)	Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;

d)	Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;

e)	Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;

f)	Uma descrição da autenticação referida no artigo 7.o, alínea f);

g)	As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.

2. Um ano após a data de aplicação dos atos de execução a que se refere os artigos 8.o, n.o 3, e 12.o, n.o 8, a Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1 do presente artigo e as informações básicas a eles respeitantes.

3. Se receber uma notificação após o termo do prazo referido no n.o 2, a Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.o 2 num prazo de dois meses a contar da data da receção da notificação.

4. Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 2 os sistemas de identificação eletrónica que tenham notificado. A Comissão publica no Jornal Oficial da União Europeia as correspondentes alterações à lista no prazo de um mês após a receção do pedido do Estado-Membro.

5. A Comissão pode, por meio de atos de execução, definir as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 10.o

Violação da segurança

1. Se o sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1, ou a autenticação referida no artigo 7.o, alínea f), forem violados ou parcialmente comprometidos de forma que prejudique a fiabilidade da autenticação transfronteiriça do sistema, o Estado-Membro notificante suspende ou revoga sem demora a referida autenticação ou os elementos comprometidos, informando desse facto os outros Estados-Membros e a Comissão.

2. Se a violação ou o comprometimento referidos no n.o 1 forem sanados, o Estado-Membro notificante restabelece a autenticação transfronteiriça e informa desse facto sem demora indevida os outros Estados-Membros e a Comissão.

3. Se a violação ou o comprometimento referidos no n.o 1 não forem sanados no prazo de três meses a contar da suspensão ou revogação, o Estado-Membro notificante notifica os outros Estados-Membros e a Comissão da supressão do sistema de identificação eletrónica.

A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 9.o, n.o 2.

Artigo 11.o

Responsabilidade

1. O Estado-Membro notificante responde pelos danos causados deliberadamente ou por negligência a qualquer pessoa singular ou coletiva por incumprimento das obrigações que lhe são impostas nos termos do artigo 7.o, alíneas d) e f), numa transação transfronteiriça.

2. A parte que produz o meio de identificação eletrónica responde pelos danos causados deliberadamente ou por negligência a qualquer pessoa singular ou coletiva pelo incumprimento da obrigação que lhe é imposta nos termos do artigo 7.o, alínea e), numa transação transfronteiriça.

3. A parte que executa o procedimento de autenticação responde pelos danos causados deliberadamente ou por negligência a qualquer pessoa singular ou coletiva por não assegurar, numa transação transfronteiriça, a correta autenticação a que se refere o artigo 7.o, alínea f).

4. Os n.os 1, 2 e 3 aplicam-se nos termos das disposições nacionais em matéria de responsabilidade.

5. Os n.os 1, 2 e 3 aplicam-se sem prejuízo da responsabilidade das partes nos termos do direito nacional, relativamente a uma transação em que sejam utilizados meios de identificação eletrónica abrangidos pelo sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1.

Artigo 44.o

Requisitos aplicáveis aos serviços qualificados de envio registado eletrónico

1. Os serviços qualificados de envio registado eletrónico satisfazem os seguintes requisitos:

a)	Serem efetuados por um ou mais prestadores qualificados de serviços de confiança;

b)	Garantirem, com um elevado nível de confiança, a identificação do remetente;

c)	Garantir a identificação do destinatário antes da entrega dos dados;

d)	O envio e a receção dos dados serem securizados por uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador qualificado de serviços de confiança, de modo a tornar impossível a alteração dos dados de forma não detetável;

e)	Qualquer alteração a que devam ser sujeitos para o seu envio ou receção ser claramente indicada ao remetente e ao destinatário dos dados;

f)	A data e a hora do envio e da receção, assim como as eventuais alterações dos dados, serem indicadas por meio de um selo temporal qualificado;

Se os dados forem transferidos entre dois ou mais prestadores qualificados de serviços de confiança, os requisitos das alíneas a) a f) serem aplicados a todos eles.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos processos de envio e receção de dados. O processo de envio e receção de dados que esteja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 8

autenticação de sítios web

Artigo 45.o

Requisitos aplicáveis aos certificados qualificados de autenticação de sítios web

1. Os certificados qualificados de autenticação de sítios web cumprem os requisitos estabelecidos no anexo IV.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de autenticação de sítios web. O certificado qualificado de autenticação de sítio web que esteja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no anexo IV. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

CAPÍTULO IV

DOCUMENTOS ELETRÓNICOS

Artigo 52.o

Entrada em vigor

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:

Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3, 24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;

b)	Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;

c)	O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8.

3. Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).

4. Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 23 de julho de 2014.

Pelo Parlamento Europeu

O Presidente

M. SCHULZ

Pelo Conselho

O Presidente

S. GOZI

(1) JO C 351 de 15.11.2012, p. 73.

(2) Posição do Parlamento Europeu de 3 de abril de 2014 (ainda não publicada no Jornal Oficial) e Decisão do Conselho de 23 de julho de 2014.

(3) Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).

(4) JO C 50 E de 21.2.2012, p. 1.

(5) Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(6) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(7) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(8) Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).

(9) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(10) Decisão 2009/767/CE da Comissão, de 16 de outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 274 de 20.10.2009, p. 36).

(11) Decisão 2011/130/UE da Comissão, de 25 de fevereiro de 2011, que estabelece requisitos mínimos para o processamento transfronteiriço de documentos assinados eletronicamente pelas autoridades competentes nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 53 de 26.2.2011, p. 66).

(12) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(13) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(14) JO C 28 de 30.1.2013, p. 6.

(15) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).

ANEXO I

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA

Os certificados qualificados de assinatura eletrónica contêm:

a)	Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;

Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;

d)	Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.

ANEXO II

REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS

Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:

a)	A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;

b)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;

Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;

d)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.

A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assinaturas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.

Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:

a)	A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;

b)	O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.

ANEXO III

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS

Os certificados qualificados de selos eletrónicos contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.

ANEXO IV

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS

Os certificados qualificados de autenticação de sítios web contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido. A utilização de um pseudónimo deve ser claramente indicada;

Para pessoas coletivas: pelo menos o nome da pessoa coletiva à qual o certificado foi emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;

e)	O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;

f)	A indicação do início e do termo da validade do certificado;

g)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

h)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

i)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);

j)	A localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir do estado de validade do certificado qualificado.

whereas

(5) Nas suas conclusões de 4 de fevereiro de 2011 e de 23 de outubro de 2011, o Conselho Europeu convidou a Comissão a criar um mercado único digital até 2015, a avançar rapidamente em áreas fundamentais da economia digital e a promover um mercado único digital completamente integrado, facilitando para isso a utilização transfronteiriça dos serviços em linha e, em particular, a identificação e a autenticação eletrónicas em condições seguras.

- = -

(8) A Diretiva 2006/123/CE do Parlamento Europeu e do Conselho (5) exige que os Estados-Membros criem «balcões únicos» para garantir que todas as formalidades e procedimentos relativos ao acesso às atividades de prestação de serviços e ao seu exercício possam ser facilmente cumpridos, à distância e por meios eletrónicos, por intermédio do balcão único e com as autoridades competentes.
Muitos dos serviços em linha acessíveis através dos balcões únicos exigem a identificação, autenticação e assinatura eletrónica.

- = -

(9) Na maioria dos casos, os cidadãos não podem utilizar a sua identificação eletrónica para procederem à autenticação noutro Estado-Membro porque os sistemas nacionais de identificação eletrónica do seu país não são reconhecidos noutros Estados-Membros.
Este obstáculo de cariz eletrónico impede os prestadores de serviços de tirarem pleno partido das vantagens do mercado interno.
A existência de meios de identificação eletrónica mutuamente reconhecidos facilitará a prestação de numerosos serviços no mercado interno a nível transfronteiriço e permitirá que as empresas desenvolvam as suas atividades numa base transfronteiriça sem encontrarem muitos obstáculos nas suas interações com as autoridades públicas.

- = -

(10) A Diretiva 2011/24/UE do Parlamento Europeu e do Conselho (6) institui uma rede de autoridades nacionais responsáveis pela saúde em linha.
Para reforçar a segurança e a continuidade dos cuidados de saúde transfronteiriços, esta rede deve estabelecer orientações sobre o acesso aos dados e serviços eletrónicos de saúde além-fronteiras, nomeadamente apoiando «medidas comuns de identificação e autenticação destinadas a facilitar a transferência dos dados no âmbito de cuidados de saúde transfronteiriços».
O reconhecimento mútuo da identificação e autenticação eletrónicas é fundamental para tornar a prestação de cuidados de saúde aos cidadãos europeus a nível transnacional uma realidade.
Quando as pessoas se deslocam a outro país para receberem tratamento, é necessário que os seus dados médicos estejam acessíveis nesse país.
Para isso, é indispensável que exista um quadro sólido, seguro e de confiança para a identificação eletrónica.

- = -

(11) O presente regulamento deverá ser aplicado no pleno cumprimento dos princípios relativos à proteção de dados pessoais, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (7).
Nesta matéria, tendo em conta o princípio de reconhecimento mútuo estabelecido pelo presente regulamento, a autenticação para acesso a um serviço em linha deverá dizer respeito ao tratamento apenas dos dados de identificação que sejam adequados, pertinentes e não excessivos para conceder acesso ao serviço em linha em causa.
Além disso, os requisitos previstos na Diretiva 95/46/CE em matéria de confidencialidade e segurança do tratamento dos dados deverão ser respeitados pelos prestadores de serviços de confiança e pelas entidades supervisoras.

- = -

(12) Um dos objetivos do presente regulamento é eliminar os obstáculos existentes à utilização transnacional dos meios de identificação eletrónica utilizados nos Estados-Membros para a autenticação para, pelo menos, os serviços públicos.
O presente regulamento não visa intervir em matéria de sistemas de gestão da identidade eletrónica e infraestruturas conexas existentes nos Estados-Membros.
O seu objetivo é garantir que, para aceder aos serviços em linha transfronteiriços oferecidos pelos Estados-Membros, seja possível utilizar com segurança a identificação e autenticação eletrónicas.

- = -

(14) Há que estabelecer no regulamento algumas condições respeitantes aos meios de identificação eletrónica que têm imperativamente de ser reconhecidos e ao modo como os sistemas de identificação eletrónica deverão ser notificados.
Tais condições deverão ajudar os Estados-Membros a ganhar a confiança necessária nos respetivos sistemas de identificação eletrónica e a reconhecer mutuamente os meios de identificação eletrónica previstos nos seus sistemas notificados.
O princípio do reconhecimento mútuo deverá aplicar-se se o sistema de identificação eletrónica do Estado-Membro notificante satisfizer as condições de notificação e se a notificação tiver sido publicada no Jornal Oficial da União Europeia.
Contudo, o princípio só deverá dizer respeito à autenticação para acesso a um serviço em linha.
O acesso a esses serviços em linha e a sua prestação final ao requerente deverão estar estreitamente ligados ao direito a beneficiar de tais serviços nas condições estabelecidas pela legislação nacional.

- = -

(16) Os níveis de garantia deverão caracterizar o nível de confiança de um meio de identificação eletrónica na determinação da identidade de uma pessoa, garantindo assim que quem declara ter determinada identidade é de facto a pessoa a quem essa identidade foi atribuída.
O nível de garantia depende do nível de confiança que os meios de identificação eletrónica conferem a respeito da identidade declarada ou reivindicada por uma pessoa tendo em conta os processos (por exemplo, prova e verificação da identidade e autenticação), as atividades de gestão (por exemplo, a entidade que produz os meios de identificação eletrónica e o procedimento para produzir esses meios) e os controlos técnicos aplicados.
Existem diversas definições técnicas e descrições dos níveis de garantia resultantes de projetos-piloto de grande escala financiados a nível da União, da normalização e das atividades internacionais.
Em particular, o projeto de grande escala STORK e a norma ISO 29115 referem, entre outras coisas, os níveis 2, 3 e 4, que deverão ser tidos na máxima conta ao estabelecer os requisitos técnicos mínimos, as normas e os procedimentos para os níveis de garantia reduzido, substancial e elevado, na aceção do presente regulamento, garantindo simultaneamente a aplicação coerente do presente regulamento, nomeadamente em relação ao nível de garantia elevado de prova da identidade para a emissão de certificados qualificados.
Os requisitos criados deverão ser tecnologicamente neutros.
Deverá ser possível satisfazer os requisitos de segurança necessários por meio de diferentes tecnologias.

- = -

(17) Os Estados-Membros deverão incentivar o setor privado a utilizar voluntariamente meios de identificação eletrónica que integrem um sistema notificado para fins de identificação, sempre que isso seja necessário para aceder a serviços em linha ou efetuar transações eletrónicas.
A possibilidade de utilizar esses meios de identificação eletrónica permitirá que o setor privado recorra à identificação e à autenticação eletrónicas já amplamente utilizadas em muitos Estados-Membros, pelo menos para os serviços públicos, e que seja mais fácil às empresas e aos cidadãos acederem aos seus serviços em linha noutros países.
Para facilitar a utilização desses meios de identificação eletrónica a nível transfronteiriço pelo setor privado, a possibilidade de autenticação oferecida por qualquer Estado-Membro deverá estar ao dispor dos utilizadores do setor privado estabelecidos fora do território desse Estado-Membro, nas mesmas condições que se aplicam aos utilizadores do setor privado nele estabelecidas.
Por conseguinte, relativamente aos utilizadores do setor privado, o Estado-Membro notificante poderá definir termos de acesso aos meios de autenticação.
Esses termos de acesso poderão determinar que os meios de autenticação associados ao sistema notificado não estejam de momento ao dispor dos utilizadores do setor privado.

- = -

(18) O presente regulamento deverá prever que o Estado-Membro notificante, a parte que produz os meios de identificação eletrónica e a parte que executa o procedimento de autenticação respondam pelo incumprimento das obrigações nele previstas.
Contudo, o presente regulamento deverá ser aplicado em conformidade com as disposições nacionais sobre responsabilidade.
Desta forma, o presente regulamento não afeta essas disposições nacionais em matéria, por exemplo, de definição dos danos ou de normas processuais aplicáveis, incluindo as que regem o ónus da prova.

- = -

(67) Os serviços de autenticação de sítios web fornecem meios que dão aos visitantes de um sítio web a garantia de que existe uma entidade genuína e legítima responsável pelo sítio.
Estes serviços contribuem para a criação de segurança e confiança na realização de negócios em linha, pois os utilizadores terão confiança nos sítios web que tenham sido autenticados.
A prestação e utilização dos serviços de autenticação de sítios web são inteiramente voluntárias.
Contudo, para que a autenticação de sítios web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e estimular o crescimento no mercado interno, o presente regulamento deverá estabelecer obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos prestadores e pelos serviços por eles prestados.
Para esse efeito, foram tidos em conta os resultados de atuais iniciativas do setor (por exemplo, Fórum de Autoridades de Certificação/Browsers — CA/B Fórum).
Além disso, o presente regulamento não deverá impedir a utilização de outros meios ou métodos para autenticar um sítio web não abrangido pelo presente regulamento, nem deverá impedir que os prestadores de países terceiros prestem os seus serviços de autenticação de sítios web a clientes na União.
Todavia, em conformidade com o presente regulamento, os serviços de autenticação de sítios web de prestadores de países terceiros só deverão ser reconhecidos como qualificados se tiver sido celebrado um acordo internacional entre a União e o país de estabelecimento do prestador.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT