EIDAS 2014/0910 PT

a)	Procurar ser tecnologicamente neutro e não fazer discriminações em relação às soluções técnicas nacionais específicas utilizadas para a identificação eletrónica no Estado-Membro em causa;

b)	Seguir, se possível, as normas europeias e internacionais;

c)	Facilitar a aplicação do princípio da privacidade desde a conceção; e

d)	Assegurar que os dados pessoais são tratados nos termos da Diretiva 95/46/CE.

4. O quadro de interoperabilidade compreende:

a)	A referência aos requisitos técnicos mínimos relacionados com os níveis de garantia previstos no artigo 8.o;

b)	A tabela das correspondências entre os níveis de garantia nacionais dos sistemas de identificação eletrónica notificados e os níveis de garantia previstos no artigo 8.o;

c)	A referência aos requisitos técnicos mínimos para a interoperabilidade;

d)	A referência a um conjunto mínimo de dados de identificação que representem de modo único uma pessoa singular ou coletiva, produzido por sistemas de identificação eletrónica;

e)	As regras processuais;

f)	As disposições em matéria de resolução de litígios; e

g)	As normas comuns de segurança operacional.

5. Os Estados-Membros cooperam nas seguintes matérias:

a)	Interoperabilidade dos sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, e dos sistemas de identificação eletrónica que os Estados-Membros pretendem notificar; e

b)	Segurança dos sistemas de identificação eletrónica.

6. A cooperação entre os Estados-Membros compreende:

a)	O intercâmbio de informações, experiências e boas práticas relativamente aos sistemas de identificação eletrónica, nomeadamente no que respeita aos requisitos técnicos relacionados com a interoperabilidade e os níveis de garantia;

b)	O intercâmbio de informações, experiência e boas práticas relativamente aos níveis de garantia de sistemas de identificação eletrónica previstos no artigo 8.o;

c)	A avaliação pelos pares dos sistemas de identificação eletrónica abrangidos pelo presente regulamento; e

d)	A análise dos aspetos importantes da evolução do setor da identificação eletrónica.

7. Até 18 de março de 2015, a Comissão estabelece, por meio de atos de execução, as necessárias modalidades processuais de facilitação da cooperação entre os Estados-Membros a que se referem os n.os 5 e 6, tendo em vista promover um nível elevado de confiança e segurança, adequado ao grau de risco.

8. Até 18 de setembro de 2015, para efeitos da definição das condições uniformes para o cumprimento do requisito referido no n.o 1, a Comissão, sob reserva dos critérios estabelecidos no n.o 3 e tendo em conta os resultados da cooperação entre os Estados-Membros, adota atos de execução referentes ao quadro de interoperabilidade tal como é definido no n.o 4.

9. Os atos de execução referidos nos n.os 7 e 8 são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

CAPÍTULO III

SERVIÇOS DE CONFIANÇA

SECÇÃO 1

Disposições gerais

Artigo 17.o

Entidade supervisora

1. Os Estados-Membros designam uma entidade supervisora estabelecida no seu território ou, por mútuo acordo com outro Estado-Membro, uma entidade supervisora estabelecida nesse outro Estado-Membro. Essa entidade é responsável pelas funções de supervisão no Estado-Membro que procede à designação.

As entidades supervisoras são dotadas dos poderes necessários e recursos adequados para o exercício das suas funções.

2. Os Estados-Membros comunicam à Comissão os nomes e os endereços das entidades supervisoras que designarem.

3. A entidade supervisora tem as seguintes funções:

Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procede à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento;

Se necessário, tomar medidas face aos prestadores de serviços de confiança não qualificados estabelecidos no território do Estado-Membro que procede à designação, por meio de atividades de supervisão a posteriori, se lhe for alegado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento.

4. Para efeitos do n.o 3 e sob reserva dos limites nele impostos, contam-se entre as funções da entidade supervisora, em particular:

a)	Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos do artigo 18.o;

b)	Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1;

c)	Informar outras entidades supervisoras e o público das violações de segurança ou perdas de integridade, nos termos do artigo 19.o, n.o 2;

d)	Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6;

e)	Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2;

f)	Cooperar com as autoridades de proteção de dados, nomeadamente informando-as sem demora indevida dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais;

g)	Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o;

h)	Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora;

i)	Verificar a existência e a aplicação correta das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h);

j)	Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento.

5. Os Estados-Membros podem exigir que a entidade supervisora crie, conserve e atualize uma infraestrutura de confiança de acordo com as condições estabelecidas pelo direito nacional.

6. Até 31 de março de cada ano, as entidades supervisoras apresentam à Comissão um relatório sobre as principais atividades do ano anterior, juntamente com um resumo das notificações de violações enviadas pelos prestadores de serviços de confiança nos termos do disposto no artigo 19.o, n.o 2.

7. A Comissão põe o relatório anual referido no n.o 6 à disposição dos Estados-Membros.

8. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis ao relatório referido no n.o 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 21.o

Início de um serviço de confiança qualificado

1. Quando os prestadores de serviços de confiança, sem estatuto de qualificado, pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.

2. A entidade supervisora verifica se o prestador de serviços de confiança os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento, designadamente com os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados.

Se a entidade supervisora concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos a que se refere o primeiro parágrafo, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3.o, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo.

Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.

3. Os prestadores qualificados de serviços de confiança podem iniciar a prestação do serviço de confiança qualificado depois de o estatuto de qualificado ter sido publicado nas listas de confiança referidas no artigo 22.o, n.o 1.

4. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1 e 2. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 32.o

Requisitos aplicáveis à validade das assinaturas eletrónicas qualificadas

1. O processo de validação de uma assinatura eletrónica qualificada confirma a validade desta na condição de:

a)	No momento da assinatura, o certificado que lhe serve de suporte ser um certificado qualificado de assinatura eletrónica conforme com o disposto no anexo I;

b)	O certificado qualificado ter sido emitido por um prestador qualificado de serviços de confiança e ser válido no momento da assinatura;

c)	Os dados para a validação da assinatura corresponderem aos dados fornecidos ao utilizador;

d)	O conjunto único de dados que representam o signatário no certificado serem corretamente fornecidos ao utilizador;

e)	A utilização de um pseudónimo no momento da assinatura ser claramente indicada ao utilizador;

f)	A assinatura eletrónica ter sido criada por um dispositivo qualificado de criação de assinatura eletrónica;

g)	A integridade dos dados assinados não ter sido afetada;

h)	Os requisitos previstos no artigo 26.o se encontrarem preenchidos no momento da assinatura;

2. O sistema utilizado para validar a assinatura eletrónica qualificada fornece ao utilizador o resultado correto do processo de validação e permite-lhe detetar eventuais problemas de segurança.

3. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas para a validação de assinaturas eletrónicas qualificadas. A validação de assinaturas eletrónicas qualificadas que seja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

whereas

(11) O presente regulamento deverá ser aplicado no pleno cumprimento dos princípios relativos à proteção de dados pessoais, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (7).
Nesta matéria, tendo em conta o princípio de reconhecimento mútuo estabelecido pelo presente regulamento, a autenticação para acesso a um serviço em linha deverá dizer respeito ao tratamento apenas dos dados de identificação que sejam adequados, pertinentes e não excessivos para conceder acesso ao serviço em linha em causa.
Além disso, os requisitos previstos na Diretiva 95/46/CE em matéria de confidencialidade e segurança do tratamento dos dados deverão ser respeitados pelos prestadores de serviços de confiança e pelas entidades supervisoras.

- = -

(14) Há que estabelecer no regulamento algumas condições respeitantes aos meios de identificação eletrónica que têm imperativamente de ser reconhecidos e ao modo como os sistemas de identificação eletrónica deverão ser notificados.
Tais condições deverão ajudar os Estados-Membros a ganhar a confiança necessária nos respetivos sistemas de identificação eletrónica e a reconhecer mutuamente os meios de identificação eletrónica previstos nos seus sistemas notificados.
O princípio do reconhecimento mútuo deverá aplicar-se se o sistema de identificação eletrónica do Estado-Membro notificante satisfizer as condições de notificação e se a notificação tiver sido publicada no Jornal Oficial da União Europeia.
Contudo, o princípio só deverá dizer respeito à autenticação para acesso a um serviço em linha.
O acesso a esses serviços em linha e a sua prestação final ao requerente deverão estar estreitamente ligados ao direito a beneficiar de tais serviços nas condições estabelecidas pela legislação nacional.

- = -

(21) O presente regulamento deverá igualmente estabelecer um quadro legal geral para a utilização dos serviços de confiança.
Contudo, não deverá criar uma obrigação geral de utilização dos mesmos nem de instalação de um ponto de acesso para todos os serviços de confiança existentes.
Designadamente, não deverá abranger a prestação de serviços utilizados exclusivamente dentro de sistemas fechados entre um grupo determinado de participantes, sem consequências para terceiros.
Por exemplo, os sistemas que sejam criados em empresas ou administrações públicas para a gestão de procedimentos internos e que recorram a serviços de confiança não deverão ficar sujeitos aos requisitos do presente regulamento.
Apenas os serviços de confiança prestados ao público com consequências para terceiros deverão cumprir os requisitos estabelecidos no presente regulamento.
O presente regulamento também não deverá abranger os aspetos relacionados com a celebração e a validade de contratos ou outras obrigações legais quando estes estabeleçam requisitos de caráter formal previstos na legislação nacional ou da União.
Além disso, ele não deverá afetar os requisitos nacionais de forma aplicáveis aos registos públicos, em particular, registos comerciais e prediais.

- = -

(47) A confiança nos serviços em linha e a respetiva conveniência são essenciais para que os utilizadores tirem pleno partido dos serviços eletrónicos e os utilizem de maneira consciente.
Para esse efeito, deverá ser criada a marca de confiança «UE» para identificar os serviços de confiança qualificados prestados pelos prestadores qualificados de serviços de confiança.
Esta marca de confiança «UE» para serviços de confiança qualificados distingue claramente os serviços qualificados de outros serviços de confiança, contribuindo desta forma para a transparência no mercado.
A utilização de uma marca de confiança «UE» pelos prestadores qualificados de serviços de confiança deverá ser voluntária e não deverá implicar qualquer outro requisito além dos previstos no presente regulamento.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT