EIDAS 2014/0910 PT

1. Os sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, especificam os níveis de garantia reduzidos, substanciais e/ou elevados para os meios de identificação eletrónica neles produzidos.

2. Os níveis de garantia reduzidos, substanciais e elevados cumprem, respetivamente, os seguintes critérios:

O nível de garantia reduzido corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança limitado relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de utilização ou alteração indevida da identidade;

O nível de garantia substancial corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança substancial relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de utilização ou alteração indevida da identidade;

O nível de garantia elevado corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança relativamente à identidade declarada ou reivindicada por determinada pessoa mais elevado do que os meios de identificação eletrónica com o nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é evitar a utilização ou a alteração indevida da identidade.

3. Até 18 de setembro de 2015, tendo em conta as normas internacionais aplicáveis e sob reserva do n.o 2, a Comissão define, por meio de atos de execução, as especificações técnicas mínimas, as normas e os procedimentos que devem servir de referência para a especificação dos níveis de garantia reduzido, substancial e elevado para meios de identificação eletrónica para efeitos do n.o 1.

As especificações técnicas mínimas, as normas e os procedimentos são estabelecidos por referência à confiança e qualidade:

a)	Do procedimento para provar e verificar a identidade das pessoas singulares ou coletivas que requeiram a produção do meio de identificação eletrónica;

b)	Do procedimento para a produção do meio de identificação eletrónica solicitado;

c)	Do mecanismo de autenticação através do qual a pessoa singular ou coletiva utiliza o meio de identificação eletrónica para confirmar a sua identidade a um utilizador;

d)	Da entidade que produz os meios de identificação eletrónica;

e)	De qualquer outro organismo implicado no processo de requisição da produção do meio de identificação eletrónica; e

f)	Das especificações técnicas e de segurança do meio de identificação eletrónica produzido.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 9.o

Notificação

1. O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:

a)	Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;

O regime de supervisão e de responsabilidade aplicáveis no que diz respeito:

i)	à parte que produz o meio de identificação eletrónica, e

ii)	à parte que executa o procedimento de autenticação.

c)	Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;

d)	Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;

e)	Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;

f)	Uma descrição da autenticação referida no artigo 7.o, alínea f);

g)	As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.

2. Um ano após a data de aplicação dos atos de execução a que se refere os artigos 8.o, n.o 3, e 12.o, n.o 8, a Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1 do presente artigo e as informações básicas a eles respeitantes.

3. Se receber uma notificação após o termo do prazo referido no n.o 2, a Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.o 2 num prazo de dois meses a contar da data da receção da notificação.

4. Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 2 os sistemas de identificação eletrónica que tenham notificado. A Comissão publica no Jornal Oficial da União Europeia as correspondentes alterações à lista no prazo de um mês após a receção do pedido do Estado-Membro.

5. A Comissão pode, por meio de atos de execução, definir as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 10.o

Violação da segurança

1. Se o sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1, ou a autenticação referida no artigo 7.o, alínea f), forem violados ou parcialmente comprometidos de forma que prejudique a fiabilidade da autenticação transfronteiriça do sistema, o Estado-Membro notificante suspende ou revoga sem demora a referida autenticação ou os elementos comprometidos, informando desse facto os outros Estados-Membros e a Comissão.

2. Se a violação ou o comprometimento referidos no n.o 1 forem sanados, o Estado-Membro notificante restabelece a autenticação transfronteiriça e informa desse facto sem demora indevida os outros Estados-Membros e a Comissão.

3. Se a violação ou o comprometimento referidos no n.o 1 não forem sanados no prazo de três meses a contar da suspensão ou revogação, o Estado-Membro notificante notifica os outros Estados-Membros e a Comissão da supressão do sistema de identificação eletrónica.

A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 9.o, n.o 2.

Artigo 12.o

Cooperação e interoperabilidade

1. Os sistemas nacionais de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1 são interoperáveis.

2. Para efeitos do requisito previsto no n.o 1, é estabelecido o quadro de interoperabilidade.

3. O quadro de interoperabilidade obedece aos seguintes critérios:

a)	Procurar ser tecnologicamente neutro e não fazer discriminações em relação às soluções técnicas nacionais específicas utilizadas para a identificação eletrónica no Estado-Membro em causa;

b)	Seguir, se possível, as normas europeias e internacionais;

c)	Facilitar a aplicação do princípio da privacidade desde a conceção; e

d)	Assegurar que os dados pessoais são tratados nos termos da Diretiva 95/46/CE.

4. O quadro de interoperabilidade compreende:

a)	A referência aos requisitos técnicos mínimos relacionados com os níveis de garantia previstos no artigo 8.o;

b)	A tabela das correspondências entre os níveis de garantia nacionais dos sistemas de identificação eletrónica notificados e os níveis de garantia previstos no artigo 8.o;

c)	A referência aos requisitos técnicos mínimos para a interoperabilidade;

d)	A referência a um conjunto mínimo de dados de identificação que representem de modo único uma pessoa singular ou coletiva, produzido por sistemas de identificação eletrónica;

e)	As regras processuais;

f)	As disposições em matéria de resolução de litígios; e

g)	As normas comuns de segurança operacional.

5. Os Estados-Membros cooperam nas seguintes matérias:

a)	Interoperabilidade dos sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, e dos sistemas de identificação eletrónica que os Estados-Membros pretendem notificar; e

b)	Segurança dos sistemas de identificação eletrónica.

6. A cooperação entre os Estados-Membros compreende:

a)	O intercâmbio de informações, experiências e boas práticas relativamente aos sistemas de identificação eletrónica, nomeadamente no que respeita aos requisitos técnicos relacionados com a interoperabilidade e os níveis de garantia;

b)	O intercâmbio de informações, experiência e boas práticas relativamente aos níveis de garantia de sistemas de identificação eletrónica previstos no artigo 8.o;

c)	A avaliação pelos pares dos sistemas de identificação eletrónica abrangidos pelo presente regulamento; e

d)	A análise dos aspetos importantes da evolução do setor da identificação eletrónica.

7. Até 18 de março de 2015, a Comissão estabelece, por meio de atos de execução, as necessárias modalidades processuais de facilitação da cooperação entre os Estados-Membros a que se referem os n.os 5 e 6, tendo em vista promover um nível elevado de confiança e segurança, adequado ao grau de risco.

8. Até 18 de setembro de 2015, para efeitos da definição das condições uniformes para o cumprimento do requisito referido no n.o 1, a Comissão, sob reserva dos critérios estabelecidos no n.o 3 e tendo em conta os resultados da cooperação entre os Estados-Membros, adota atos de execução referentes ao quadro de interoperabilidade tal como é definido no n.o 4.

9. Os atos de execução referidos nos n.os 7 e 8 são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

CAPÍTULO III

SERVIÇOS DE CONFIANÇA

SECÇÃO 1

Disposições gerais

Artigo 17.o

Entidade supervisora

1. Os Estados-Membros designam uma entidade supervisora estabelecida no seu território ou, por mútuo acordo com outro Estado-Membro, uma entidade supervisora estabelecida nesse outro Estado-Membro. Essa entidade é responsável pelas funções de supervisão no Estado-Membro que procede à designação.

As entidades supervisoras são dotadas dos poderes necessários e recursos adequados para o exercício das suas funções.

2. Os Estados-Membros comunicam à Comissão os nomes e os endereços das entidades supervisoras que designarem.

3. A entidade supervisora tem as seguintes funções:

Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procede à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento;

Se necessário, tomar medidas face aos prestadores de serviços de confiança não qualificados estabelecidos no território do Estado-Membro que procede à designação, por meio de atividades de supervisão a posteriori, se lhe for alegado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento.

4. Para efeitos do n.o 3 e sob reserva dos limites nele impostos, contam-se entre as funções da entidade supervisora, em particular:

a)	Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos do artigo 18.o;

b)	Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1;

c)	Informar outras entidades supervisoras e o público das violações de segurança ou perdas de integridade, nos termos do artigo 19.o, n.o 2;

d)	Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6;

e)	Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2;

f)	Cooperar com as autoridades de proteção de dados, nomeadamente informando-as sem demora indevida dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais;

g)	Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o;

h)	Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora;

i)	Verificar a existência e a aplicação correta das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h);

j)	Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento.

5. Os Estados-Membros podem exigir que a entidade supervisora crie, conserve e atualize uma infraestrutura de confiança de acordo com as condições estabelecidas pelo direito nacional.

6. Até 31 de março de cada ano, as entidades supervisoras apresentam à Comissão um relatório sobre as principais atividades do ano anterior, juntamente com um resumo das notificações de violações enviadas pelos prestadores de serviços de confiança nos termos do disposto no artigo 19.o, n.o 2.

7. A Comissão põe o relatório anual referido no n.o 6 à disposição dos Estados-Membros.

8. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis ao relatório referido no n.o 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 19.o

Requisitos de segurança aplicáveis aos prestadores de serviços de confiança

1. Os prestadores qualificados e não qualificados de serviços de confiança tomam as medidas de caráter técnico e organizativo que forem adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta a evolução tecnológica mais recente, essas medidas assegurarão um nível de segurança proporcional ao grau de risco existente. Em particular, são tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.

2. Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.

Se a violação da segurança ou perda de integridade constatada for suscetível de prejudicar a pessoa singular ou coletiva a quem o serviço de confiança tiver sido prestado, o prestador dos serviços de confiança notifica também sem demora indevida a referida pessoa singular ou coletiva da violação da segurança ou da perda de integridade.

Se necessário, em particular se a violação da segurança ou a perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora notificada informa do facto as entidades supervisoras dos outros Estados-Membros em causa e a ENISA.

A entidade supervisora notificada informa o público ou exige que o prestador do serviço de confiança o faça, se considerar que a divulgação da violação da segurança ou perda de integridade é do interesse público.

3. A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança.

4. A Comissão pode, por meio de atos de execução:

a)	Especificar mais as medidas referidas no n.o 1, e

b)	Definir os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto no n.o 2.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 3

Serviços qualificados de confiança

Artigo 20.o

Fiscalização dos prestadores qualificados de serviços de confiança

1. Os prestadores qualificados de serviços de confiança são auditados, pelo menos de 24 em 24 meses, a expensas suas, por um organismo de avaliação da conformidade. O objetivo de tal auditoria é confirmar que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança que prestam cumprem os requisitos estabelecidos pelo presente regulamento. Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora no prazo de três dias úteis depois de o terem recebido.

2. Sem prejuízo do disposto no n.o 1, a entidade supervisora pode, em qualquer altura, auditar ou pedir a um organismo de avaliação da conformidade que efetue uma avaliação da conformidade dos prestadores qualificados de serviços de confiança, a expensas desses prestadores qualificados de serviços de confiança, para confirmar que tanto os próprios prestadores, como os serviços de confiança qualificados por eles prestados cumprem as condições estabelecidas no presente regulamento. Em caso de suspeita de violação das regras de proteção de dados pessoais, a entidade supervisora informa as autoridades responsáveis pela proteção de dados dos resultados das suas auditorias.

3. Se a entidade supervisora exigir que o prestador qualificado de serviços de confiança corrija os incumprimentos dos requisitos do presente regulamento e se o prestador não agir em conformidade, eventualmente dentro de um prazo fixado pela entidade supervisora, esta pode, tendo em conta nomeadamente a dimensão, a duração e as consequências desse incumprimento, retirar o estatuto de qualificado ao prestador ou ao serviço afetado por ele prestado e informar a entidade referida no artigo 22.o, n.o 3, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1. A entidade supervisora informa o prestador qualificado de serviços de confiança da retirada do seu estatuto de qualificado ou do estatuto de qualificado do serviço em causa.

4. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas aplicáveis:

a)	À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.o 1;

b)	Às regras de auditoria segundo as quais os organismos de avaliação da conformidade efetuam a avaliação da conformidade dos prestadores qualificados de serviços de confiança a que se refere o n.o 1.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 21.o

Início de um serviço de confiança qualificado

1. Quando os prestadores de serviços de confiança, sem estatuto de qualificado, pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.

2. A entidade supervisora verifica se o prestador de serviços de confiança os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento, designadamente com os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados.

Se a entidade supervisora concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos a que se refere o primeiro parágrafo, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3.o, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo.

Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.

3. Os prestadores qualificados de serviços de confiança podem iniciar a prestação do serviço de confiança qualificado depois de o estatuto de qualificado ter sido publicado nas listas de confiança referidas no artigo 22.o, n.o 1.

4. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1 e 2. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 27.o

Assinaturas eletrónicas em serviços públicos

1. O Estado-Membro que exigir assinatura eletrónica avançada para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas, as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

2. O Estado-Membro que exigir assinatura eletrónica avançada baseada num certificado qualificado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

3. Os Estados-Membros não exigem para a utilização transfronteiriça em serviços em linha prestados por organismos públicos, uma assinatura eletrónica com um nível de garantia de segurança superior ao da assinatura eletrónica qualificada.

4. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas às assinaturas eletrónicas avançadas. As assinaturas eletrónicas avançadas conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos aplicáveis às assinaturas eletrónicas avançadas referidos nos n.os 1 e 2 do presente artigo e no artigo 26.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

5. Até 18 de setembro de 2015, e tendo em conta as práticas, normas e atos jurídicos da União, a Comissão, mediante atos de execução, define os formatos de referência das assinaturas eletrónicas avançadas ou os métodos de referência se forem utilizados formatos alternativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 37.o

Selos eletrónicos em serviços públicos

1. O Estado-Membro que exigir selo eletrónico avançado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconhece os selos eletrónicos avançados, os selos eletrónicos avançados baseados em certificados qualificados para selos eletrónicos e selos eletrónicos qualificados pelo menos que se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

2. O Estado-Membro que exigir selo eletrónico avançado baseado num certificado qualificado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconhece os selos eletrónicos avançados baseados em certificados qualificados para selos eletrónicos e selos eletrónicos qualificados pelo menos que se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

3. Os Estados-Membros não exigem, para a utilização transfronteiriça em serviços em linha prestados por organismos públicos, um selo eletrónico com um nível de garantia de segurança superior ao do selo eletrónico qualificado.

4. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos selos eletrónicos avançados. Os selos eletrónicos avançados conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos para selos eletrónicos avançados referidos nos n.os 1 e 2 do presente artigo e no artigo 36.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

5. Até 18 de setembro de 2015, e tendo em conta as práticas, normas e atos jurídicos da União, a Comissão, através de atos de execução, define os formatos de referência dos selos eletrónicos avançados ou os métodos de referência se forem utilizados formatos alternativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 47.o

Exercício da delegação

1. O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2. O poder de adotar os atos delegados referido no artigo 30.o, n.o 4, é conferido à Comissão por prazo indeterminado, a partir de 17 de setembro de 2014.

3. A delegação de poderes referida no artigo 30.o, n.o 4, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4. Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

5. Os atos delegados adotados nos termos do artigo 30.o, n.o 4, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogado por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 49.o

Revisão

A Comissão analisa a aplicação do presente regulamento e apresenta um relatório ao Parlamento Europeu e ao Conselho até 1 de julho de 2020. A Comissão avalia nomeadamente se é adequado modificar o âmbito do presente regulamento ou as suas disposições especiais, como o artigo 6.o, o artigo 7.o, alínea f), e os artigos 34.o, 43.o, 44.o e 45.o, tendo em conta a experiência adquirida na aplicação do presente regulamento, bem como a evolução da tecnologia, do mercado e da legislação.

Se necessário, o relatório a que se refere o primeiro parágrafo é acompanhado de propostas legislativas.

Além disso, a intervalos de quatro anos a contar do relatório a que se refere o primeiro parágrafo, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a realização dos objetivos do presente regulamento.

whereas

(11) O presente regulamento deverá ser aplicado no pleno cumprimento dos princípios relativos à proteção de dados pessoais, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (7).
Nesta matéria, tendo em conta o princípio de reconhecimento mútuo estabelecido pelo presente regulamento, a autenticação para acesso a um serviço em linha deverá dizer respeito ao tratamento apenas dos dados de identificação que sejam adequados, pertinentes e não excessivos para conceder acesso ao serviço em linha em causa.
Além disso, os requisitos previstos na Diretiva 95/46/CE em matéria de confidencialidade e segurança do tratamento dos dados deverão ser respeitados pelos prestadores de serviços de confiança e pelas entidades supervisoras.

- = -

(16) Os níveis de garantia deverão caracterizar o nível de confiança de um meio de identificação eletrónica na determinação da identidade de uma pessoa, garantindo assim que quem declara ter determinada identidade é de facto a pessoa a quem essa identidade foi atribuída.
O nível de garantia depende do nível de confiança que os meios de identificação eletrónica conferem a respeito da identidade declarada ou reivindicada por uma pessoa tendo em conta os processos (por exemplo, prova e verificação da identidade e autenticação), as atividades de gestão (por exemplo, a entidade que produz os meios de identificação eletrónica e o procedimento para produzir esses meios) e os controlos técnicos aplicados.
Existem diversas definições técnicas e descrições dos níveis de garantia resultantes de projetos-piloto de grande escala financiados a nível da União, da normalização e das atividades internacionais.
Em particular, o projeto de grande escala STORK e a norma ISO 29115 referem, entre outras coisas, os níveis 2, 3 e 4, que deverão ser tidos na máxima conta ao estabelecer os requisitos técnicos mínimos, as normas e os procedimentos para os níveis de garantia reduzido, substancial e elevado, na aceção do presente regulamento, garantindo simultaneamente a aplicação coerente do presente regulamento, nomeadamente em relação ao nível de garantia elevado de prova da identidade para a emissão de certificados qualificados.
Os requisitos criados deverão ser tecnologicamente neutros.
Deverá ser possível satisfazer os requisitos de segurança necessários por meio de diferentes tecnologias.

- = -

(35) Todos os prestadores de serviços de confiança deverão ficar sujeitos aos requisitos do presente regulamento, nomeadamente aos que dizem respeito à segurança e à responsabilidade para garantir a devida diligência, a transparência e a responsabilização das suas operações e serviços.
Contudo, tendo em conta o tipo de serviços por eles prestados, é necessário distinguir entre prestadores qualificados e não qualificados de serviços de confiança relativamente a esses requisitos.

- = -

(67) Os serviços de autenticação de sítios web fornecem meios que dão aos visitantes de um sítio web a garantia de que existe uma entidade genuína e legítima responsável pelo sítio.
Estes serviços contribuem para a criação de segurança e confiança na realização de negócios em linha, pois os utilizadores terão confiança nos sítios web que tenham sido autenticados.
A prestação e utilização dos serviços de autenticação de sítios web são inteiramente voluntárias.
Contudo, para que a autenticação de sítios web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e estimular o crescimento no mercado interno, o presente regulamento deverá estabelecer obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos prestadores e pelos serviços por eles prestados.
Para esse efeito, foram tidos em conta os resultados de atuais iniciativas do setor (por exemplo, Fórum de Autoridades de Certificação/Browsers — CA/B Fórum).
Além disso, o presente regulamento não deverá impedir a utilização de outros meios ou métodos para autenticar um sítio web não abrangido pelo presente regulamento, nem deverá impedir que os prestadores de países terceiros prestem os seus serviços de autenticação de sítios web a clientes na União.
Todavia, em conformidade com o presente regulamento, os serviços de autenticação de sítios web de prestadores de países terceiros só deverão ser reconhecidos como qualificados se tiver sido celebrado um acordo internacional entre a União e o país de estabelecimento do prestador.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT