keyboard_tab EIDAS 2014/0910 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artigo 18.o Assistência mútua
- 1 Artigo 19.o Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
- 1 Artigo 20.o Fiscalização dos prestadores qualificados de serviços de confiança
- 1 Artigo 23.o Marca de confiança «UE» para serviços de confiança qualificados
- 1 Artigo 24.o Requisitos aplicáveis aos prestadores qualificados de serviços de confiança
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
IDENTIFICAÇÃO ELETRÓNICA
CAPÍTULO III
SERVIÇOS DE CONFIANÇA
SECÇÃO 1
Disposições gerais
SECÇÃO 2
Supervisão
SECÇÃO 3
Serviços qualificados de confiança
SECÇÃO 4
Assinaturas eletrónicas
SECÇÃO 5
Selos eletrónicos
SECÇÃO 6
Selos temporais
Secção 7
Serviço de envio registado eletrónico
SECÇÃO 8
Autenticação de sítios web
CAPÍTULO IV
DOCUMENTOS ELETRÓNICOS
CAPÍTULO V
DELEGAÇÕES DE PODER E DISPOSIÇÕES DE EXECUÇÃO
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- confiança 48
- serviços 38
- qualificados 31
- prestadores 20
- artigo 18
- entidade 17
- no 17
- para 17
- dados 16
- supervisora 14
- segurança 13
- conformidade 13
- são 11
- qualificado 11
- avaliação 10
- pelo 8
- atos 8
- termos 8
- prestador 8
- pessoa 8
- entidades 8
- refere 7
- execução 7
- requisitos 7
- serviço 7
- supervisoras 7
- medidas 6
- certificado 6
- certificados 6
- pode 6
- integridade 6
- assistência 6
- prazo 6
- meio 5
- qualquer 5
- não 5
- estados-membros 5
- singular 5
- esses 5
- atividades 5
- coletiva 5
- após 5
- prestam 5
- perda 5
- violação 5
- efeitos 5
- particular 5
- aplicáveis 4
- adotados 4
- referidas 4
Artigo 18.o
Assistência mútua
1. As entidades supervisoras cooperam tendo em vista o intercâmbio de boas práticas.
Após receção de um pedido justificado por outra entidade supervisora, as entidades supervisoras prestam assistência àquela entidade para que as atividades de entidade supervisora possam ser exercidas de maneira coerente. A assistência mútua pode abranger, em particular, pedidos de informação e medidas de supervisão, tais como pedidos de realização de inspeções relacionadas com os relatórios de avaliação da conformidade referidos nos artigos 20.o e 21.o.
2. As entidades supervisoras às quais tenham sido dirigidos pedidos de assistências podem indeferi-los por qualquer dos seguintes motivos:
| a) | Não forem competentes para prestar a assistência solicitada; |
| b) | A assistência solicitada não for proporcional às atividades de supervisão realizadas pelas entidades supervisoras nos termos do disposto no artigo 17.o; |
| c) | Prestar a assistência solicitada for incompatível com o presente regulamento. |
3. Quando se justificar, os Estados-Membros podem autorizar as respetivas entidades supervisoras a efetuar investigações conjuntas nas quais participem quadros das entidades supervisoras de outros Estados-Membros. As disposições e procedimentos aplicáveis a tais atividades conjuntas são acordadas e estabelecidas pelos Estados-Membros em causa nos termos das respetivas legislações nacionais.
Artigo 19.o
Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
1. Os prestadores qualificados e não qualificados de serviços de confiança tomam as medidas de caráter técnico e organizativo que forem adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta a evolução tecnológica mais recente, essas medidas assegurarão um nível de segurança proporcional ao grau de risco existente. Em particular, são tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.
2. Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.
Se a violação da segurança ou perda de integridade constatada for suscetível de prejudicar a pessoa singular ou coletiva a quem o serviço de confiança tiver sido prestado, o prestador dos serviços de confiança notifica também sem demora indevida a referida pessoa singular ou coletiva da violação da segurança ou da perda de integridade.
Se necessário, em particular se a violação da segurança ou a perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora notificada informa do facto as entidades supervisoras dos outros Estados-Membros em causa e a ENISA.
A entidade supervisora notificada informa o público ou exige que o prestador do serviço de confiança o faça, se considerar que a divulgação da violação da segurança ou perda de integridade é do interesse público.
3. A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança.
4. A Comissão pode, por meio de atos de execução:
| a) | Especificar mais as medidas referidas no n.o 1, e |
| b) | Definir os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto no n.o 2. |
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 3
Serviços qualificados de confiança
Artigo 20.o
Fiscalização dos prestadores qualificados de serviços de confiança
1. Os prestadores qualificados de serviços de confiança são auditados, pelo menos de 24 em 24 meses, a expensas suas, por um organismo de avaliação da conformidade. O objetivo de tal auditoria é confirmar que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança que prestam cumprem os requisitos estabelecidos pelo presente regulamento. Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora no prazo de três dias úteis depois de o terem recebido.
2. Sem prejuízo do disposto no n.o 1, a entidade supervisora pode, em qualquer altura, auditar ou pedir a um organismo de avaliação da conformidade que efetue uma avaliação da conformidade dos prestadores qualificados de serviços de confiança, a expensas desses prestadores qualificados de serviços de confiança, para confirmar que tanto os próprios prestadores, como os serviços de confiança qualificados por eles prestados cumprem as condições estabelecidas no presente regulamento. Em caso de suspeita de violação das regras de proteção de dados pessoais, a entidade supervisora informa as autoridades responsáveis pela proteção de dados dos resultados das suas auditorias.
3. Se a entidade supervisora exigir que o prestador qualificado de serviços de confiança corrija os incumprimentos dos requisitos do presente regulamento e se o prestador não agir em conformidade, eventualmente dentro de um prazo fixado pela entidade supervisora, esta pode, tendo em conta nomeadamente a dimensão, a duração e as consequências desse incumprimento, retirar o estatuto de qualificado ao prestador ou ao serviço afetado por ele prestado e informar a entidade referida no artigo 22.o, n.o 3, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1. A entidade supervisora informa o prestador qualificado de serviços de confiança da retirada do seu estatuto de qualificado ou do estatuto de qualificado do serviço em causa.
4. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas aplicáveis:
| a) | À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.o 1; |
| b) | Às regras de auditoria segundo as quais os organismos de avaliação da conformidade efetuam a avaliação da conformidade dos prestadores qualificados de serviços de confiança a que se refere o n.o 1. |
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 23.o
Marca de confiança «UE» para serviços de confiança qualificados
1. Depois de o estatuto de qualificado referido no artigo 21.o, n.o 2, segundo parágrafo, ser publicado na lista de confiança a que se refere o artigo 22.o, n.o 1, os prestadores qualificados de serviços de confiança podem utilizar a marca de confiança «UE» para identificar, de forma simples, reconhecível e clara, os serviços de confiança qualificados que prestam.
2. Ao utilizar a marca de confiança «UE» para os serviços de confiança qualificados referida no n.o 1, os prestadores qualificados de serviços de confiança asseguram-se da existência de uma ligação à correspondente lista de confiança no seu sítio web.
3. Até 1 de julho de 2015, a Comissão estabelece, por meio de atos de execução, as especificações relativas à forma e, em particular, à apresentação, composição, dimensão e conceção da marca de confiança «UE» para serviços de confiança qualificados. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 24.o
Requisitos aplicáveis aos prestadores qualificados de serviços de confiança
1. Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.
As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:
| a) | Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou |
| b) | À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8.o relativamente aos níveis de garantia «substancial» ou «elevado»; ou |
| c) | Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou |
| d) | Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade. |
2. Os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados:
| a) | Informam a entidade supervisora de todas as alterações à prestação dos seus serviços de confiança qualificados, inclusivamente da intenção de cessação de atividades; |
| b) | Empregam pessoal e, eventualmente, subcontratantes que possuam a especialização, a confiança, experiência e as qualificações necessárias e que tenham recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais e aplicam procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais; |
| c) | Face ao risco da responsabilidade por danos prevista no artigo 13.o, conservam recursos financeiros suficientes e/ou adquirem um seguro de responsabilidade adequado, de acordo com a legislação nacional; |
| d) | Antes de estabelecerem uma relação contratual, informam, de forma clara e completa, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização; |
| e) | Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte; |
| f) | Utilizam sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que:
|
| g) | Tomam as medidas adequadas para prevenir a falsificação e o roubo dos dados; |
| h) | Registam e mantêm acessíveis durante um prazo adequado, incluindo depois de o prestador qualificado de serviços de confiança ter deixado de prestar esses serviços, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, em particular para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito eletronicamente; |
| i) | Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 17.o, n.o 4, alínea i); |
| j) | Garantem um tratamento lícito dos dados pessoais em conformidade com a Diretiva 95/46/CE; |
| k) | Criam e mantêm atualizada uma base de dados de certificados, quando emitam certificados qualificados. |
3. Se os prestadores qualificados de serviços de confiança que emitem certificados qualificados decidirem revogar um certificado, registam a revogação na sua base de dados e publicam-na em tempo útil, mas sempre no prazo de 24 horas após a receção do pedido. A revogação produz efeitos imediatamente após a sua publicação.
4. No que respeita ao disposto no n.o 3, os prestadores qualificados de serviços de confiança que emitam certificados qualificados fornecem a qualquer utilizador informações sobre a validade ou a revogação dos certificados qualificados por eles emitidos. Estas informações são fornecidas pelo menos para cada certificado, em qualquer altura e mesmo após o termo do prazo de validade do certificado, de uma maneira automática que seja fiável, gratuita e eficaz.
5. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos sistemas e produtos fiáveis que cumprem os requisitos constantes do n.o 2, alíneas e) e f). Os sistemas e produtos fiáveis conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no artigo 24.o. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 4
Assinaturas eletrónicas
whereas