keyboard_tab EIDAS 2014/0910 PT

whereas formato:

• whereas (50) 3
• whereas (63) 2
• whereas (64) 1

definitions:

Artigo 3.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)   «Identificação eletrónica»: o processo de utilização dos dados de identificação pessoal em formato eletrónico que representam de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa coletiva;

2)   «Meio de identificação eletrónica»: uma unidade material e/ou imaterial que contenha os dados de identificação pessoal e que seja utilizada para autenticação de um serviço em linha;

3)   «Dados de identificação pessoal»: um conjunto de dados que permitam determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente uma pessoa coletiva;

4)   «Sistema de identificação eletrónica»: um sistema de identificação eletrónica ao abrigo do qual sejam produzidos meios de identificação eletrónica para as pessoas singulares ou coletivas, ou para as pessoas singulares que representem pessoas coletivas;

5)   «Autenticação»: o processo eletrónico que permite a identificação eletrónica de uma pessoa singular ou coletiva ou da origem e integridade de um dado em formato eletrónico a confirmar;

6)   «Utilizador»: a pessoa singular ou coletiva que utiliza a identificação eletrónica ou o serviço de confiança;

7)   «Organismo público»: uma entidade estatal nacional, regional ou local, um organismo de direito público ou uma associação formada por uma ou mais dessas entidades ou por um ou mais organismos de direito público, ou uma entidade privada mandatada por, pelo menos, uma dessas autoridades, organismos ou associações como sendo de interesse público, ao abrigo de tal mandato;

8)   «Organismo de direito público»: o organismo definido no artigo 2.o, n.o 1, ponto 4), da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho (15);

9)   «Signatário»: a pessoa singular que cria uma assinatura eletrónica;

10)   «Assinatura eletrónica»: os dados em formato eletrónico que se ligam ou estão logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo signatário para assinar;

11)   «Assinatura eletrónica avançada»: uma assinatura eletrónica que obedeça aos requisitos estabelecidos no artigo 26.o;

12)   «Assinatura eletrónica qualificada»: uma assinatura eletrónica avançada criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica;

13)   «Dados para a criação de uma assinatura eletrónica»: o conjunto único de dados que é utilizado pelo signatário para criar uma assinatura eletrónica;

14)   «Certificado de assinatura eletrónica»: um atestado eletrónico que associa os dados de validação da assinatura eletrónica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo;

15)   «Certificado qualificado de assinatura eletrónica»: um certificado de assinatura eletrónica, que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;

16)   «Serviço de confiança»: um serviço eletrónico geralmente prestado mediante remuneração, que consiste:

a)	Na criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados relacionados com estes serviços; ou

b)	Na criação, verificação e validação de certificados para a autenticação de sítios web; ou

c)	Na preservação das assinaturas, selos ou certificados eletrónicos relacionados com esses serviços;

17)   «Serviço de confiança qualificado»: um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no presente regulamento;

18)   «Organismo de avaliação da conformidade»: o organismo definido no artigo 2.o, n.o 13, do Regulamento (CE) n.o 765/2008, que é acreditado nos termos do mesmo regulamento como sendo competente para realizar a avaliação da conformidade de prestadores qualificados de serviços de confiança e dos serviços de confiança qualificados prestados;

19)   «Prestador de serviços de confiança»: a pessoa singular ou coletiva que preste um ou mais do que um serviço de confiança quer como prestador qualificado quer como prestador não qualificado de serviços de confiança;

20)   «Prestador qualificado de serviços de confiança»: o prestador de serviços de confiança que preste um ou mais do que um serviço de confiança qualificado e ao qual é concedido o estatuto de qualificado pela entidade supervisora;

21)   «Produto»: hardware ou software, ou componentes pertinentes de hardware ou software, que se destinem a ser utilizados para a prestação de serviços de confiança;

22)   «Dispositivo de criação de assinaturas eletrónicas»: software ou hardware configurados, utilizados para criar assinaturas eletrónicas;

23)   «Dispositivo qualificado de criação de assinaturas eletrónicas»: o dispositivo para a criação de assinaturas eletrónicas que cumpra os requisitos estabelecidos no anexo II;

24)   «Criador de um selo»: a pessoa coletiva que cria um selo eletrónico;

25)   «Selo eletrónico»: os dados em formato eletrónico apenso ou logicamente associado a outros dados em formato eletrónico para garantir a origem e a integridade destes últimos;

26)   «Selo eletrónico avançado»: um selo eletrónico que obedeça aos requisitos estabelecidos no artigo 36.o:

27)   «Selo eletrónico qualificado»: selo eletrónico avançado criado por um dispositivo qualificado de criação de selos eletrónicos e que se baseie num certificado qualificado de selo eletrónico;

28)   «Dados para a criação de um selo eletrónico»: o conjunto único de dados que seja utilizado pelo criador do selo eletrónico para criar um selo eletrónico;

29)   «Certificado de selo eletrónico»: um atestado eletrónico que associa os dados de validação do selo eletrónico a uma pessoa coletiva e confirma o seu nome;

30)   «Certificado qualificado de selo eletrónico»: um certificado de selo eletrónico emitido por um prestador qualificado de serviços de confiança que satisfaça os requisitos estabelecidos no anexo III;

31)   «Dispositivo de criação de selos eletrónicos»: software ou hardware configurados, utilizados para criar selos eletrónicos;

32)   «Dispositivo qualificado de criação de selos eletrónicos»: um dispositivo para a criação de selos eletrónicos que satisfaça mutatis mutandis os requisitos estabelecidos no anexo II;

33)   «Selos temporais»: os dados em formato eletrónico que vinculam outros dados em formato eletrónico a uma hora específica, criando uma prova de que esses outros dados existiam nesse momento;

34)   «Selo temporal qualificado»: um selo temporal que satisfaça os requisitos estabelecidos no artigo 42.o;

35)   «Documento eletrónico»: qualquer conteúdo armazenado em formato eletrónico, nomeadamente texto ou gravação sonora, visual ou audiovisual;

36)   «Serviço de envio registado eletrónico»: um serviço que torne possível a transmissão de dados entre terceiros por meios eletrónicos e forneça prova do tratamento dos dados transmitidos, nomeadamente a prova do envio e da receção dos mesmos, e que proteja os dados transferidos contra o risco de perda, roubo, dano ou alteração não autorizada;

37)   «Serviço qualificado de envio registado eletrónico»: um serviço de envio registado eletrónico que satisfaça os requisitos estabelecidos no artigo 44.o;

38)   «Certificado de autenticação de sítio web»: um atestado que torne possível autenticar um sítio web e associe o sítio web à pessoa singular ou coletiva à qual o certificado tenha sido emitido;

39)   «Certificado qualificado de autenticação de sítios web»: um certificado de autenticação de sítios web que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I;

40)   «Dados de validação»: dados que são utilizados para validar uma assinatura eletrónica ou um selo eletrónico;

41)   «Validação»: o processo pelo qual é verificada e confirmada a validade de uma assinatura ou selo eletrónico.

Artigo 7.o

Elegibilidade para notificação dos sistemas de identificação eletrónica

Os sistemas de identificação eletrónica podem ser notificados nos termos do artigo 9.o, n.o 1, se estiverem reunidas todas as seguintes condições:

a)	Os meios de identificação eletrónica que integram o sistema de identificação eletrónica serem produzidos: i) pelo Estado-Membro notificante, ii) por mandato do Estado-Membro notificante, ou iii) independentemente do Estado-Membro notificante e serem por ele reconhecidos;

b)	Os meios de identificação eletrónica que integram o sistema de identificação eletrónica poderem ser utilizados para aceder pelo menos a um serviço prestado por um organismo público que exija identificação eletrónica no Estado-Membro notificante;

c)	O sistema de identificação eletrónica e os meios de identificação eletrónica por ele produzidos preencherem os requisitos de pelo menos um dos níveis de garantia estabelecidos no ato de execução a que se refere o artigo 8.o, n.o 3;

d)

O Estado-Membro notificante garantir que os dados de identificação que representam de modo único a pessoa em causa são atribuídos, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3, à pessoa singular ou coletiva referida no artigo 3.o, ponto 1, no momento em que os meios de identificação eletrónica que integram o sistema forem produzidos;

e)

A parte que produz os meios de identificação eletrónica que integram o sistema garantir que os mesmos meios de identificação são atribuídos à pessoa singular ou coletiva a que se refere a alínea d), do presente artigo, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3;

f)

O Estado-Membro notificante garantir a possibilidade de autenticação em linha, para que qualquer utilizador estabelecido no território de outro Estado-Membro possa confirmar os dados de identificação recebidos em formato eletrónico. Para os utilizadores que não sejam organismos públicos, o Estado-Membro notificante pode definir termos de acesso à referida autenticação. Este tipo de autenticação transfronteiriça é gratuito se for realizado para acesso a um serviço em linha prestado por um organismo público. Os Estados-Membros não podem impor requisitos técnicos específicos desproporcionados aos utilizadores que pretendam executar essa autenticação, se esses requisitos impedirem ou dificultarem significativamente a interoperabilidade dos sistemas de identificação eletrónica notificados;

g)

No mínimo seis meses antes da notificação prevista no artigo 9.o, n.o 1, o Estado-Membro notificante fornecer aos outros Estados-Membros para cumprimento da obrigação estabelecida no artigo 12.o, n.o 5, uma descrição do sistema, de acordo com as modalidades processuais definidas pelos atos de execução a que se refere o artigo 12.o, n.o 7;

h)	O sistema de identificação eletrónica cumprir os requisitos definidos no ato de execução mencionado no artigo 12.o, n.o 8.

Artigo 9.o

Notificação

1.   O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:

a)	Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;

b)	O regime de supervisão e de responsabilidade aplicáveis no que diz respeito: i) à parte que produz o meio de identificação eletrónica, e ii) à parte que executa o procedimento de autenticação.

c)	Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;

d)	Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;

e)	Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;

f)	Uma descrição da autenticação referida no artigo 7.o, alínea f);

g)	As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.

2.   Um ano após a data de aplicação dos atos de execução a que se refere os artigos 8.o, n.o 3, e 12.o, n.o 8, a Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1 do presente artigo e as informações básicas a eles respeitantes.

3.   Se receber uma notificação após o termo do prazo referido no n.o 2, a Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.o 2 num prazo de dois meses a contar da data da receção da notificação.

4.   Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 2 os sistemas de identificação eletrónica que tenham notificado. A Comissão publica no Jornal Oficial da União Europeia as correspondentes alterações à lista no prazo de um mês após a receção do pedido do Estado-Membro.

5.   A Comissão pode, por meio de atos de execução, definir as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 17.o

Entidade supervisora

1.   Os Estados-Membros designam uma entidade supervisora estabelecida no seu território ou, por mútuo acordo com outro Estado-Membro, uma entidade supervisora estabelecida nesse outro Estado-Membro. Essa entidade é responsável pelas funções de supervisão no Estado-Membro que procede à designação.

As entidades supervisoras são dotadas dos poderes necessários e recursos adequados para o exercício das suas funções.

2.   Os Estados-Membros comunicam à Comissão os nomes e os endereços das entidades supervisoras que designarem.

3.   A entidade supervisora tem as seguintes funções:

a)

Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procede à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento;

b)

Se necessário, tomar medidas face aos prestadores de serviços de confiança não qualificados estabelecidos no território do Estado-Membro que procede à designação, por meio de atividades de supervisão a posteriori, se lhe for alegado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento.

4.   Para efeitos do n.o 3 e sob reserva dos limites nele impostos, contam-se entre as funções da entidade supervisora, em particular:

a)	Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos do artigo 18.o;

b)	Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1;

c)	Informar outras entidades supervisoras e o público das violações de segurança ou perdas de integridade, nos termos do artigo 19.o, n.o 2;

d)	Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6;

e)	Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2;

f)	Cooperar com as autoridades de proteção de dados, nomeadamente informando-as sem demora indevida dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais;

g)	Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o;

h)	Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora;

i)	Verificar a existência e a aplicação correta das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h);

j)	Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento.

5.   Os Estados-Membros podem exigir que a entidade supervisora crie, conserve e atualize uma infraestrutura de confiança de acordo com as condições estabelecidas pelo direito nacional.

6.   Até 31 de março de cada ano, as entidades supervisoras apresentam à Comissão um relatório sobre as principais atividades do ano anterior, juntamente com um resumo das notificações de violações enviadas pelos prestadores de serviços de confiança nos termos do disposto no artigo 19.o, n.o 2.

7.   A Comissão põe o relatório anual referido no n.o 6 à disposição dos Estados-Membros.

8.   A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis ao relatório referido no n.o 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 19.o

Requisitos de segurança aplicáveis aos prestadores de serviços de confiança

1.   Os prestadores qualificados e não qualificados de serviços de confiança tomam as medidas de caráter técnico e organizativo que forem adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta a evolução tecnológica mais recente, essas medidas assegurarão um nível de segurança proporcional ao grau de risco existente. Em particular, são tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.

2.   Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.

Se a violação da segurança ou perda de integridade constatada for suscetível de prejudicar a pessoa singular ou coletiva a quem o serviço de confiança tiver sido prestado, o prestador dos serviços de confiança notifica também sem demora indevida a referida pessoa singular ou coletiva da violação da segurança ou da perda de integridade.

Se necessário, em particular se a violação da segurança ou a perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora notificada informa do facto as entidades supervisoras dos outros Estados-Membros em causa e a ENISA.

A entidade supervisora notificada informa o público ou exige que o prestador do serviço de confiança o faça, se considerar que a divulgação da violação da segurança ou perda de integridade é do interesse público.

3.   A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança.

4.   A Comissão pode, por meio de atos de execução:

a)	Especificar mais as medidas referidas no n.o 1, e

b)	Definir os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto no n.o 2.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 3

Serviços qualificados de confiança

Artigo 21.o

Início de um serviço de confiança qualificado

1.   Quando os prestadores de serviços de confiança, sem estatuto de qualificado, pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.

2.   A entidade supervisora verifica se o prestador de serviços de confiança os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento, designadamente com os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados.

Se a entidade supervisora concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos a que se refere o primeiro parágrafo, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3.o, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo.

Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.

3.   Os prestadores qualificados de serviços de confiança podem iniciar a prestação do serviço de confiança qualificado depois de o estatuto de qualificado ter sido publicado nas listas de confiança referidas no artigo 22.o, n.o 1.

4.   A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1 e 2. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 22.o

Listas de confiança

1.   Os Estados-Membros elaboram, conservam e publicam listas de confiança com informações relativas aos prestadores qualificados de serviços de confiança para os quais forem competentes, assim como informações relacionadas com os serviços de confiança qualificados por eles prestados.

2.   Os Estados-Membros elaboram e publicam, em condições seguras, as listas de confiança referidas no n.o 1, eletronicamente assinadas ou seladas, num formato adequado ao tratamento automático.

3.   Os Estados-Membros transmitem à Comissão, sem atrasos indevidos, informações sobre a entidade responsável pela elaboração, conservação e publicação das listas de confiança nacionais, os dados referentes ao local em que tais listas se encontram publicadas, bem como sobre os certificados utilizados para as assinar ou selar e as eventuais alterações a tais informações.

4.   A Comissão disponibiliza ao público, através de um canal seguro, as informações referidas no n.o 3 num formato eletronicamente assinado ou selado, adequado ao tratamento automático.

5.   Até 18 de setembro de 2015, a Comissão especifica, por meio de atos de execução, as informações referidas no n.o 1 e define as especificações técnicas e os formatos das listas de confiança aplicáveis para efeitos do disposto nos n.os 1 a 4. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 24.o

Requisitos aplicáveis aos prestadores qualificados de serviços de confiança

1.   Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.

As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:

a)	Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou

b)

À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8.o relativamente aos níveis de garantia «substancial» ou «elevado»; ou

c)	Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou

d)	Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade.

2.   Os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados:

a)	Informam a entidade supervisora de todas as alterações à prestação dos seus serviços de confiança qualificados, inclusivamente da intenção de cessação de atividades;

b)

Empregam pessoal e, eventualmente, subcontratantes que possuam a especialização, a confiança, experiência e as qualificações necessárias e que tenham recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais e aplicam procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais;

c)	Face ao risco da responsabilidade por danos prevista no artigo 13.o, conservam recursos financeiros suficientes e/ou adquirem um seguro de responsabilidade adequado, de acordo com a legislação nacional;

d)	Antes de estabelecerem uma relação contratual, informam, de forma clara e completa, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização;

e)	Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte;

f)

Utilizam sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que: i) os dados apenas estejam publicamente disponíveis para extração se tiver sido obtido o consentimento da pessoa a quem os dados digam respeito, ii) apenas as pessoas autorizadas possam introduzir dados e alterações aos dados armazenados, iii) a autenticidade dos dados possa ser verificada;

g)	Tomam as medidas adequadas para prevenir a falsificação e o roubo dos dados;

h)

Registam e mantêm acessíveis durante um prazo adequado, incluindo depois de o prestador qualificado de serviços de confiança ter deixado de prestar esses serviços, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, em particular para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito eletronicamente;

i)	Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 17.o, n.o 4, alínea i);

j)	Garantem um tratamento lícito dos dados pessoais em conformidade com a Diretiva 95/46/CE;

k)	Criam e mantêm atualizada uma base de dados de certificados, quando emitam certificados qualificados.

3.   Se os prestadores qualificados de serviços de confiança que emitem certificados qualificados decidirem revogar um certificado, registam a revogação na sua base de dados e publicam-na em tempo útil, mas sempre no prazo de 24 horas após a receção do pedido. A revogação produz efeitos imediatamente após a sua publicação.

4.   No que respeita ao disposto no n.o 3, os prestadores qualificados de serviços de confiança que emitam certificados qualificados fornecem a qualquer utilizador informações sobre a validade ou a revogação dos certificados qualificados por eles emitidos. Estas informações são fornecidas pelo menos para cada certificado, em qualquer altura e mesmo após o termo do prazo de validade do certificado, de uma maneira automática que seja fiável, gratuita e eficaz.

5.   A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos sistemas e produtos fiáveis que cumprem os requisitos constantes do n.o 2, alíneas e) e f). Os sistemas e produtos fiáveis conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no artigo 24.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 4

Assinaturas eletrónicas

Artigo 25.o

Efeitos legais das assinaturas eletrónicas

1.   Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a uma assinatura eletrónica pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos exigidos para as assinaturas eletrónicas qualificadas.

2.   A assinatura eletrónica qualificada tem um efeito legal equivalente ao de uma assinatura manuscrita.

3.   As assinaturas eletrónicas qualificadas baseadas em certificados qualificados emitidos num Estado-Membro são reconhecidas como assinatura eletrónica qualificada em todos os outros Estados-Membros.

Artigo 27.o

Assinaturas eletrónicas em serviços públicos

1.   O Estado-Membro que exigir assinatura eletrónica avançada para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas, as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

2.   O Estado-Membro que exigir assinatura eletrónica avançada baseada num certificado qualificado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconheça as assinaturas eletrónicas avançadas baseadas em certificados qualificados para assinaturas eletrónicas e as assinaturas eletrónicas qualificadas que pelo menos se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

3.   Os Estados-Membros não exigem para a utilização transfronteiriça em serviços em linha prestados por organismos públicos, uma assinatura eletrónica com um nível de garantia de segurança superior ao da assinatura eletrónica qualificada.

4.   A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas às assinaturas eletrónicas avançadas. As assinaturas eletrónicas avançadas conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos aplicáveis às assinaturas eletrónicas avançadas referidos nos n.os 1 e 2 do presente artigo e no artigo 26.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

5.   Até 18 de setembro de 2015, e tendo em conta as práticas, normas e atos jurídicos da União, a Comissão, mediante atos de execução, define os formatos de referência das assinaturas eletrónicas avançadas ou os métodos de referência se forem utilizados formatos alternativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 31.o

Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas

1.   Os Estados-Membros comunicam à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos qualificados de criação de assinaturas eletrónicas que tenham sido certificados pelas entidades referidas no artigo 30.o, n.o 1. Comunicam também à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos de criação de assinaturas eletrónicas que deixem de estar certificados.

2.   Com base nas informações recebidas, a Comissão elabora, publica e mantém atualizada uma lista dos dispositivos qualificados e certificados de criação de assinaturas eletrónicas.

3.   A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 35.o

Efeitos legais dos selos eletrónicos

1.   Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um selo eletrónico pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos dos selos eletrónicos qualificados.

2.   O selo eletrónico qualificado beneficia da presunção da integridade dos dados e da correção da origem dos dados aos quais está associado.

3.   Os selos eletrónicos qualificados baseados em certificados qualificados emitidos num Estado-Membro são reconhecidos como selos eletrónicos qualificados em todos os outros Estados-Membros.

Artigo 37.o

Selos eletrónicos em serviços públicos

1.   O Estado-Membro que exigir selo eletrónico avançado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconhece os selos eletrónicos avançados, os selos eletrónicos avançados baseados em certificados qualificados para selos eletrónicos e selos eletrónicos qualificados pelo menos que se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

2.   O Estado-Membro que exigir selo eletrónico avançado baseado num certificado qualificado para a utilização de serviços em linha oferecidos por organismos públicos ou em nome destes, reconhece os selos eletrónicos avançados baseados em certificados qualificados para selos eletrónicos e selos eletrónicos qualificados pelo menos que se apresentem nos formatos ou utilizem os métodos definidos nos atos de execução a que se refere o n.o 5.

3.   Os Estados-Membros não exigem, para a utilização transfronteiriça em serviços em linha prestados por organismos públicos, um selo eletrónico com um nível de garantia de segurança superior ao do selo eletrónico qualificado.

4.   A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos selos eletrónicos avançados. Os selos eletrónicos avançados conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos para selos eletrónicos avançados referidos nos n.os 1 e 2 do presente artigo e no artigo 36.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

5.   Até 18 de setembro de 2015, e tendo em conta as práticas, normas e atos jurídicos da União, a Comissão, através de atos de execução, define os formatos de referência dos selos eletrónicos avançados ou os métodos de referência se forem utilizados formatos alternativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 41.o

Efeito legal dos selos temporais

1.   Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um selo temporal pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos do selo temporal qualificado.

2.   O selo temporal qualificado beneficia da presunção da exatidão da data e da hora que indica e da integridade dos dados aos quais a data e a hora estão associadas.

3.   O selo temporal qualificado emitido num Estado-Membro é reconhecido como selo temporal qualificado em todos os Estados-Membros.

Artigo 43.o

Efeito legal dos serviços de envio registado eletrónico

1.   Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial aos dados enviados e recebidos com recurso a um serviço de envio registado eletrónico pelo simples facto de se apresentarem em formato eletrónico ou de não cumprirem todos os requisitos do serviço qualificado de envio registado eletrónico.

2.   Os dados enviados e recebidos com recurso a um serviço qualificado de envio registado eletrónico beneficiam da presunção legal de integridade dos dados, do envio pelo remetente identificado e da receção pelo destinatário identificado dos dados e da exatidão da data e hora de envio e receção dos dados indicados pelo serviço qualificado de envio registado eletrónico.

Artigo 46.o

Efeitos legais dos documentos eletrónicos

Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um documento eletrónico pelo simples facto de se apresentar em formato eletrónico.

CAPÍTULO V

DELEGAÇÕES DE PODER E DISPOSIÇÕES DE EXECUÇÃO

Artigo 52.o

Entrada em vigor

1.   O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2.   O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:

a)

Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3, 24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;

b)	Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;

c)	O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8.

3.   Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).

4.   Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.

---

(1)  JO C 351 de 15.11.2012, p. 73.

(2)  Posição do Parlamento Europeu de 3 de abril de 2014 (ainda não publicada no Jornal Oficial) e Decisão do Conselho de 23 de julho de 2014.

(3)  Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).

(4)  JO C 50 E de 21.2.2012, p. 1.

(5)  Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(6)  Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(7)  Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(8)  Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).

(9)  Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(10)  Decisão 2009/767/CE da Comissão, de 16 de outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 274 de 20.10.2009, p. 36).

(11)  Decisão 2011/130/UE da Comissão, de 25 de fevereiro de 2011, que estabelece requisitos mínimos para o processamento transfronteiriço de documentos assinados eletronicamente pelas autoridades competentes nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 53 de 26.2.2011, p. 66).

(12)  Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(13)  Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(14)  JO C 28 de 30.1.2013, p. 6.

(15)  Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).

---

---

---

---