EIDAS 2014/0910 PT

1. Quando, para aceder a um serviço em linha prestado por um organismo público de um Estado-Membro, seja exigida, ao abrigo da legislação ou nos termos da prática administrativa nacional, uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação, o meio de identificação eletrónica produzido noutro Estado-Membro é reconhecido no primeiro Estado-Membro para efeitos de autenticação transfronteiriço para o referido serviço em linha, se estiverem reunidas as seguintes condições:

a)	O meio de identificação eletrónica ser produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o;

O nível de garantia do meio de identificação eletrónica corresponder a um nível de garantia igual ou superior ao exigido pelo organismo público para o acesso ao serviço em linha no primeiro Estado-Membro, desde que o nível de garantia do referido meio de identificação eletrónica corresponda ao nível substancial ou elevado;

c)	O organismo público em causa utilizar o nível de garantia substancial ou elevado para conceder acesso ao referido serviço em linha.

O reconhecimento é efetuado num prazo de 12 meses após a Comissão ter publicado, a lista a que se refere a alínea a) do primeiro parágrafo.

2. O meio de identificação eletrónica produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o, e correspondente ao nível de garantia baixo, pode ser reconhecido pelos organismos públicos para efeitos de autenticação transfronteiriça para conceder acesso ao serviço prestado em linha por esses mesmos organismos.

Artigo 9.o

Notificação

1. O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:

a)	Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;

O regime de supervisão e de responsabilidade aplicáveis no que diz respeito:

i)	à parte que produz o meio de identificação eletrónica, e

ii)	à parte que executa o procedimento de autenticação.

c)	Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;

d)	Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;

e)	Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;

f)	Uma descrição da autenticação referida no artigo 7.o, alínea f);

g)	As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.

2. Um ano após a data de aplicação dos atos de execução a que se refere os artigos 8.o, n.o 3, e 12.o, n.o 8, a Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1 do presente artigo e as informações básicas a eles respeitantes.

3. Se receber uma notificação após o termo do prazo referido no n.o 2, a Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.o 2 num prazo de dois meses a contar da data da receção da notificação.

4. Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 2 os sistemas de identificação eletrónica que tenham notificado. A Comissão publica no Jornal Oficial da União Europeia as correspondentes alterações à lista no prazo de um mês após a receção do pedido do Estado-Membro.

5. A Comissão pode, por meio de atos de execução, definir as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 10.o

Violação da segurança

1. Se o sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1, ou a autenticação referida no artigo 7.o, alínea f), forem violados ou parcialmente comprometidos de forma que prejudique a fiabilidade da autenticação transfronteiriça do sistema, o Estado-Membro notificante suspende ou revoga sem demora a referida autenticação ou os elementos comprometidos, informando desse facto os outros Estados-Membros e a Comissão.

2. Se a violação ou o comprometimento referidos no n.o 1 forem sanados, o Estado-Membro notificante restabelece a autenticação transfronteiriça e informa desse facto sem demora indevida os outros Estados-Membros e a Comissão.

3. Se a violação ou o comprometimento referidos no n.o 1 não forem sanados no prazo de três meses a contar da suspensão ou revogação, o Estado-Membro notificante notifica os outros Estados-Membros e a Comissão da supressão do sistema de identificação eletrónica.

A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 9.o, n.o 2.

Artigo 19.o

Requisitos de segurança aplicáveis aos prestadores de serviços de confiança

1. Os prestadores qualificados e não qualificados de serviços de confiança tomam as medidas de caráter técnico e organizativo que forem adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta a evolução tecnológica mais recente, essas medidas assegurarão um nível de segurança proporcional ao grau de risco existente. Em particular, são tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.

2. Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.

Se a violação da segurança ou perda de integridade constatada for suscetível de prejudicar a pessoa singular ou coletiva a quem o serviço de confiança tiver sido prestado, o prestador dos serviços de confiança notifica também sem demora indevida a referida pessoa singular ou coletiva da violação da segurança ou da perda de integridade.

Se necessário, em particular se a violação da segurança ou a perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora notificada informa do facto as entidades supervisoras dos outros Estados-Membros em causa e a ENISA.

A entidade supervisora notificada informa o público ou exige que o prestador do serviço de confiança o faça, se considerar que a divulgação da violação da segurança ou perda de integridade é do interesse público.

3. A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança.

4. A Comissão pode, por meio de atos de execução:

a)	Especificar mais as medidas referidas no n.o 1, e

b)	Definir os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto no n.o 2.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 3

Serviços qualificados de confiança

Artigo 20.o

Fiscalização dos prestadores qualificados de serviços de confiança

1. Os prestadores qualificados de serviços de confiança são auditados, pelo menos de 24 em 24 meses, a expensas suas, por um organismo de avaliação da conformidade. O objetivo de tal auditoria é confirmar que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança que prestam cumprem os requisitos estabelecidos pelo presente regulamento. Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora no prazo de três dias úteis depois de o terem recebido.

2. Sem prejuízo do disposto no n.o 1, a entidade supervisora pode, em qualquer altura, auditar ou pedir a um organismo de avaliação da conformidade que efetue uma avaliação da conformidade dos prestadores qualificados de serviços de confiança, a expensas desses prestadores qualificados de serviços de confiança, para confirmar que tanto os próprios prestadores, como os serviços de confiança qualificados por eles prestados cumprem as condições estabelecidas no presente regulamento. Em caso de suspeita de violação das regras de proteção de dados pessoais, a entidade supervisora informa as autoridades responsáveis pela proteção de dados dos resultados das suas auditorias.

3. Se a entidade supervisora exigir que o prestador qualificado de serviços de confiança corrija os incumprimentos dos requisitos do presente regulamento e se o prestador não agir em conformidade, eventualmente dentro de um prazo fixado pela entidade supervisora, esta pode, tendo em conta nomeadamente a dimensão, a duração e as consequências desse incumprimento, retirar o estatuto de qualificado ao prestador ou ao serviço afetado por ele prestado e informar a entidade referida no artigo 22.o, n.o 3, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1. A entidade supervisora informa o prestador qualificado de serviços de confiança da retirada do seu estatuto de qualificado ou do estatuto de qualificado do serviço em causa.

4. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas aplicáveis:

a)	À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.o 1;

b)	Às regras de auditoria segundo as quais os organismos de avaliação da conformidade efetuam a avaliação da conformidade dos prestadores qualificados de serviços de confiança a que se refere o n.o 1.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 21.o

Início de um serviço de confiança qualificado

1. Quando os prestadores de serviços de confiança, sem estatuto de qualificado, pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.

2. A entidade supervisora verifica se o prestador de serviços de confiança os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento, designadamente com os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados.

Se a entidade supervisora concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos a que se refere o primeiro parágrafo, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3.o, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo.

Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.

3. Os prestadores qualificados de serviços de confiança podem iniciar a prestação do serviço de confiança qualificado depois de o estatuto de qualificado ter sido publicado nas listas de confiança referidas no artigo 22.o, n.o 1.

4. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1 e 2. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 24.o

Requisitos aplicáveis aos prestadores qualificados de serviços de confiança

1. Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.

As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:

a)	Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou

À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8.o relativamente aos níveis de garantia «substancial» ou «elevado»; ou

c)	Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou

d)	Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade.

2. Os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados:

a)	Informam a entidade supervisora de todas as alterações à prestação dos seus serviços de confiança qualificados, inclusivamente da intenção de cessação de atividades;

Empregam pessoal e, eventualmente, subcontratantes que possuam a especialização, a confiança, experiência e as qualificações necessárias e que tenham recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais e aplicam procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais;

c)	Face ao risco da responsabilidade por danos prevista no artigo 13.o, conservam recursos financeiros suficientes e/ou adquirem um seguro de responsabilidade adequado, de acordo com a legislação nacional;

d)	Antes de estabelecerem uma relação contratual, informam, de forma clara e completa, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização;

e)	Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte;

Utilizam sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que:

i)	os dados apenas estejam publicamente disponíveis para extração se tiver sido obtido o consentimento da pessoa a quem os dados digam respeito,

ii)	apenas as pessoas autorizadas possam introduzir dados e alterações aos dados armazenados,

iii)	a autenticidade dos dados possa ser verificada;

g)	Tomam as medidas adequadas para prevenir a falsificação e o roubo dos dados;

Registam e mantêm acessíveis durante um prazo adequado, incluindo depois de o prestador qualificado de serviços de confiança ter deixado de prestar esses serviços, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, em particular para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito eletronicamente;

i)	Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 17.o, n.o 4, alínea i);

j)	Garantem um tratamento lícito dos dados pessoais em conformidade com a Diretiva 95/46/CE;

k)	Criam e mantêm atualizada uma base de dados de certificados, quando emitam certificados qualificados.

3. Se os prestadores qualificados de serviços de confiança que emitem certificados qualificados decidirem revogar um certificado, registam a revogação na sua base de dados e publicam-na em tempo útil, mas sempre no prazo de 24 horas após a receção do pedido. A revogação produz efeitos imediatamente após a sua publicação.

4. No que respeita ao disposto no n.o 3, os prestadores qualificados de serviços de confiança que emitam certificados qualificados fornecem a qualquer utilizador informações sobre a validade ou a revogação dos certificados qualificados por eles emitidos. Estas informações são fornecidas pelo menos para cada certificado, em qualquer altura e mesmo após o termo do prazo de validade do certificado, de uma maneira automática que seja fiável, gratuita e eficaz.

5. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos sistemas e produtos fiáveis que cumprem os requisitos constantes do n.o 2, alíneas e) e f). Os sistemas e produtos fiáveis conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no artigo 24.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 4

Assinaturas eletrónicas

Artigo 31.o

Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas

1. Os Estados-Membros comunicam à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos qualificados de criação de assinaturas eletrónicas que tenham sido certificados pelas entidades referidas no artigo 30.o, n.o 1. Comunicam também à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos de criação de assinaturas eletrónicas que deixem de estar certificados.

2. Com base nas informações recebidas, a Comissão elabora, publica e mantém atualizada uma lista dos dispositivos qualificados e certificados de criação de assinaturas eletrónicas.

3. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 34.o

Serviço qualificado de preservação de assinaturas eletrónicas qualificadas

1. Os serviços de preservação de assinaturas eletrónicas qualificadas só podem ser prestados por prestadores qualificados de serviços de confiança que utilizem procedimentos e tecnologias capazes de prolongar a fiabilidade das assinaturas eletrónicas qualificadas para além do prazo de validade tecnológica.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas ao serviço qualificado de preservação de assinaturas eletrónicas qualificadas. As disposições aplicáveis ao serviço qualificado de preservação de assinaturas eletrónicas qualificadas que sejam conformes com essas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

SECÇÃO 5

Selos eletrónicos

Artigo 47.o

Exercício da delegação

1. O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2. O poder de adotar os atos delegados referido no artigo 30.o, n.o 4, é conferido à Comissão por prazo indeterminado, a partir de 17 de setembro de 2014.

3. A delegação de poderes referida no artigo 30.o, n.o 4, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4. Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

5. Os atos delegados adotados nos termos do artigo 30.o, n.o 4, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogado por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 51.o

Medidas transitórias

1. Os dispositivos seguros de criação de assinaturas cuja conformidade tenha sido determinada nos termos do artigo 3.o, n.o 4, da Diretiva 1999/93/CE são considerados dispositivos qualificados de criação de assinaturas eletrónicas na aceção do presente regulamento.

2. Os certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE são considerados certificados qualificados de assinatura eletrónica na aceção do presente regulamento até caducarem.

3. Os prestadores de serviços de certificação que emitam certificados qualificados em conformidade com a Diretiva 1999/93/CE apresentam um relatório de avaliação da conformidade à entidade supervisora no mais breve prazo, o mais tardar até 1 de julho de 2017. Até o referido relatório de avaliação da conformidade ser apresentado e a entidade supervisora concluir a sua avaliação, consideram-se os prestadores de serviços de certificação como prestadores qualificados de serviços de confiança na aceção do presente regulamento.

4. Se os prestadores de serviços de certificação que emitem certificados qualificados em conformidade com a Diretiva 1999/93/CE não apresentarem relatório de avaliação da conformidade à entidade supervisora dentro do prazo referido no n.o 3, deixam de ser considerados como prestadores qualificados de serviços de confiança na aceção do presente regulamento a partir de 2 de julho de 2017.

Artigo 52.o

Entrada em vigor

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:

Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3, 24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;

b)	Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;

c)	O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8.

3. Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).

4. Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 23 de julho de 2014.

Pelo Parlamento Europeu

O Presidente

M. SCHULZ

Pelo Conselho

O Presidente

S. GOZI

(1) JO C 351 de 15.11.2012, p. 73.

(2) Posição do Parlamento Europeu de 3 de abril de 2014 (ainda não publicada no Jornal Oficial) e Decisão do Conselho de 23 de julho de 2014.

(3) Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).

(4) JO C 50 E de 21.2.2012, p. 1.

(5) Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(6) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(7) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(8) Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).

(9) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(10) Decisão 2009/767/CE da Comissão, de 16 de outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 274 de 20.10.2009, p. 36).

(11) Decisão 2011/130/UE da Comissão, de 25 de fevereiro de 2011, que estabelece requisitos mínimos para o processamento transfronteiriço de documentos assinados eletronicamente pelas autoridades competentes nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 53 de 26.2.2011, p. 66).

(12) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(13) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(14) JO C 28 de 30.1.2013, p. 6.

(15) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).

ANEXO I

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA

Os certificados qualificados de assinatura eletrónica contêm:

a)	Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;

Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;

d)	Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.

ANEXO II

REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS

Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:

a)	A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;

b)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;

Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;

d)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.

A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assinaturas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.

Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:

a)	A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;

b)	O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.

ANEXO III

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS

Os certificados qualificados de selos eletrónicos contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.

ANEXO IV

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS

Os certificados qualificados de autenticação de sítios web contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido. A utilização de um pseudónimo deve ser claramente indicada;

Para pessoas coletivas: pelo menos o nome da pessoa coletiva à qual o certificado foi emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;

e)	O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;

f)	A indicação do início e do termo da validade do certificado;

g)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

h)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

i)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);

j)	A localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir do estado de validade do certificado qualificado.

whereas

(61) O presente regulamento deverá assegurar a preservação das informações a longo prazo, para assegurar a validade legal das assinaturas e dos selos eletrónicos durante períodos alargados e garantir que possam ser validados independentemente da evolução tecnológica futura.

- = -

(74) Para garantir segurança jurídica aos operadores do mercado que já utilizam certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE, é necessário prever um prazo suficiente para a transição.
Do mesmo modo, deverão ser previstas medidas transitórias para os dispositivos seguros de criação de assinaturas, cuja conformidade tenha sido determinada nos termos da Diretiva 1999/93/CE, e para os prestadores de serviços de certificação que emitam certificados qualificados até 1 de julho de 2016.
Por último, é também necessário dotar a Comissão dos meios que lhe permitam adotar os atos de execução e os atos delegados antes dessa data.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT