Assinatura eletrónica na UE

A presente diretiva institui o quadro legal a nível europeu para assinaturas eletrónicas e o reconhecimento de prestadores de serviços de certificação. O objetivo consiste em:

—	facilitar a utilização das assinaturas eletrónicas; e

—	contribuir para o seu reconhecimento legal em todos os países da UE.

ATO

Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas.

SÍNTESE

A presente diretiva estabelece os critérios que constituem a base para o reconhecimento legal de assinaturas eletrónicas, centrando-se na regulamentação dos prestadores de serviços de certificação. A diretiva estabelece:

—	requisitos comuns para os prestadores de serviços de certificação, de modo a assegurar o reconhecimento de assinaturas eletrónicas e certificados em toda a União Europeia (UE);

—	disposições comuns em matéria de responsabilidade para ajudar a reforçar a confiança entre os utilizadores, que confiam nos certificados;

—	mecanismos de cooperação para facilitar o reconhecimento transfronteiriço de assinaturas eletrónicas e certificados com países não pertencentes à UE.

A diretiva define novas ideias:

—	a assinatura eletrónica, que consiste em dados sob forma eletrónica, ligados ou logicamente associados a outros dados eletrónicos, e que sejam utilizados como método de autenticação;

—

a assinatura eletrónica avançada, que deve obedecer aos seguintes requisitos: — estar associada inequivocamente ao signatário; — permitir identificar o signatário; — ser criada com meios que o signatário pode manter sob seu controlo exclusivo; — estar ligada ao documento eletrónico a autenticar. Tal destina-se a garantir que qualquer alteração subsequente nesse documento seja detetável;

—

certificado qualificado, que deve conter em particular: — uma indicação de que é emitido como certificado qualificado; — a identificação do prestador de serviços de certificação; — o nome do signatário; — a possibilidade de incluir um elemento adicional específico de autenticação, como a data de nascimento, do signatário (segundo os objetivos visados com a emissão do certificado); — os dados de verificação de assinaturas: estes devem corresponder aos dados de criação de assinaturas que estejam sob o controlo do signatário; — as datas de início e de fim do prazo de validade do certificado; — o código de identidade do certificado; — a assinatura eletrónica avançada do prestador de serviços de certificação que o emite.

O certificado deve também ser emitido por um prestador de serviços de certificação que cumpra os requisitos específicos previstos na diretiva.

Acesso ao mercado

Os países da UE não devem sujeitar a prestação de serviços de certificação a qualquer tipo de autorização prévia.

Os países da UE podem dispor de regimes próprios para incentivarem a certificação com características reforçadas. Além disso, não podem limitar o número de prestadores de serviços de certificação acreditados, nem podem restringir a prestação de serviços de certificação com origem noutro país da UE.

Os países da UE podem submeter a utilização de assinaturas eletrónicas no setor público a eventuais requisitos adicionais. Esses requisitos devem ser objetivos, transparentes, proporcionados e não discriminatórios.

Efeitos legais da assinatura eletrónica

Uma assinatura eletrónica avançada baseada num certificado qualificado obedece aos requisitos legais de uma assinatura no que se refere aos dados sob forma digital, do mesmo modo que uma assinatura manuscrita obedece àqueles requisitos em relação aos dados escritos. [Por conveniência, este tipo de assinatura pode ser designado por «assinatura eletrónica qualificada». Apesar de a diretiva a descrever, não apresenta uma definição para a mesma]. É também admissível como meio de prova para efeitos processuais.

Uma assinatura eletrónica não pode ser recusada legalmente como meio de prova para efeitos processuais apenas pelo facto de:

—	se apresentar sob forma eletrónica;

—	não se basear num certificado qualificado;

—	não ter sido criada através de um dispositivo seguro de criação de assinaturas.

Responsabilidade

Os países da UE devem garantir que um prestador de serviços de certificação que emita um certificado qualificado assuma determinadas responsabilidades. Estas incluem a responsabilidade por prejuízos referentes a qualquer pessoa ou entidade que confie, de forma razoável, no certificado, no que respeita:

—	à exatidão de todas as informações constantes do certificado qualificado no momento da emissão;

—	à inclusão, no certificado, de todas as indicações prescritas para um certificado qualificado no momento da emissão, bem como ao facto de o signatário identificado no certificado ser a pessoa para quem o certificado foi emitido.

O prestador de serviços de certificação pode impor um limite para o valor das transações nas quais o certificado pode ser utilizado. Este limite deve ser identificável por terceiros. O prestador não deve ser responsável por prejuízos decorrentes da utilização de um certificado qualificado que exceda os limites que lhe são próprios.

Aspetos internacionais

Os países da UE devem assegurar a aplicação do reconhecimento legal mútuo dos certificados qualificados e das assinaturas eletrónicas de países não pertencentes à UE. Devem ser cumpridas algumas condições de fiabilidade, nomeadamente:

—	os prestadores não estabelecidos na UE devem cumprir os requisitos da presente diretiva e estar acreditados sob um regime de acreditação facultativa vigente num país da UE; ou

—	um prestador estabelecido na UE que cumpra os requisitos da presente diretiva pode garantir os certificados de prestadores não estabelecidos na UE na mesma medida que os seus próprios certificados.

A Comissão Europeia pode apresentar propostas para garantir a aplicação plena das normas e dos acordos internacionais.

Proteção de dados

Os países da UE devem assegurar que os prestadores de serviços de certificação e os organismos nacionais responsáveis pela acreditação ou controlo cumpram os requisitos constantes da Diretiva 95/46/CE relativa à proteção dos dados pessoais.

Novo regulamento relativo à identificação eletrónica e aos serviços de confiança (eIDAS) adotado

O Regulamento eIDAS [Regulamento (UE) n.o910/2014] foi adotado em 2014. Entrou em vigor em 17.9.2014 e será aplicável a partir de 1.7.2016, excetuando alguns artigos enumerados no respetivo artigo 52.o. O Regulamento (UE) n.o 910/2014 revoga a Diretiva 1999/93/CE com efeitos a partir de 30.6.2016.

Para mais informações, consulte o sítio Web da Comissão Europeia relativo à Agenda Digital para a Europa - Serviços de confiança.

ATOS RELACIONADOS

Comunicação da Comissão ao Conselho, ao Parlamento Europeu, ao Comité Económico e Social Europeu e ao Comité das Regiões - Plano de ação sobre assinaturas eletrónicas e identificação eletrónica, a fim de facilitar a prestação de serviços públicos transfronteiriços no mercado único [COM(2008) 798 final de 28.11.2008].

Nesta comunicação, a Comissão propõe um plano de ação que tem por objetivo assistir os países da UE na implementação de soluções interoperáveis e reconhecidas mutuamente para as assinaturas eletrónicas e a identificação eletrónica, a fim de facilitar a prestação de serviços públicos transfronteiriços num ambiente eletrónico. Trata-se de um aspeto fundamental para evitar a fragmentação do mercado único.

As ações constantes do plano de ação estão divididas em duas partes:

—	ações destinadas a melhorar a interoperabilidade transfronteiriça das assinaturas eletrónicas qualificadas e das assinaturas eletrónicas avançadas baseadas em certificados qualificados;

—	ações destinadas a promover a interoperabilidade transfronteiriça da identificação eletrónica.

Relatório da Comissão ao Parlamento Europeu e ao Conselho - Relatório sobre o funcionamento da Diretiva 1999/93/CE relativa a um quadro legal comunitário para as assinaturas eletrónicas [COM(2006) 120 final de 15.3.2006].

O relatório indica que os países da UE aplicaram os princípios gerais da diretiva.

A Comissão constata que a transposição da diretiva para o direito dos países da UE deu resposta à necessidade de reconhecimento legal das assinaturas eletrónicas. Por conseguinte, considera que os objetivos da diretiva foram alcançados e que, de momento, não se revela necessária a sua revisão. No entanto, a Comissão planeia consultar os países e as partes interessadas para abordar uma série de questões, nomeadamente os problemas de interoperabilidade, os aspetos técnicos e a normalização.

Decisão 2003/511/CE da Comissão, de 14 de julho de 2003, sobre a publicação dos números de referência das normas geralmente reconhecidas para produtos de assinatura eletrónica, nos termos da Diretiva 1999/93/CE do Parlamento Europeu e do Conselho (Jornal Oficial L 175 de 15.7.2003, p. 45-46).

Esta decisão fornece as referências de três normas geralmente reconhecidas para produtos de assinatura eletrónica que permitem presumir a conformidade com a assinatura eletrónica qualificada.

Decisão 2000/709/CE da Comissão, de 6 de novembro de 2000, sobre os critérios mínimos a ter em conta pelos Estados-Membros ao designarem as entidades previstas no n.o 4 do artigo 3.o da Diretiva 1999/93/CE do Parlamento Europeu e do Conselho relativa a um quadro comunitário para as assinaturas eletrónicas (Jornal Oficial L 289 de 16.11.2000, p. 42-43).

Esta decisão estabelece os critérios que os países da UE devem ter em conta quando designarem as entidades nacionais responsáveis pelas avaliações da conformidade dos dispositivos seguros de criação de assinaturas.

Última modificação: 09.01.2015