DIRECTIVA 1999/93/CE DO PARLAMENTO EUROPEU E DO CONSELHO

de 13 de Dezembro de 1999

relativa a um quadro legal comunitário para as assinaturas electrónicas

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o n.o 2 do seu artigo 47.o e os seus artigos 55.o e 95.o,

Tendo em conta a proposta da Comissão(1),

Tendo em conta o parecer do Comité Económico e Social(2),

Tendo em conta o parecer do Comité das Regiões(3),

Deliberando nos termos do artigo 251.o do Tratado(4),

Considerando o seguinte:

(1) A Comissão apresentou, em 16 de Abril de 1997, ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social e ao Comité das Regiões uma comunicação relativa a uma iniciativa europeia em matéria de comércio electrónico;

(2) A Comissão apresentou, em 8 de Outubro de 1997, ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social e ao Comité das Regiões a comunicação "Garantir a segurança e a confiança nas comunicações electrónicas - Contribuição para a definição de um quadro europeu para as assinaturas digitais e a cifragem";

(3) Em 1 de Dezembro de 1997, o Conselho convidou a Comissão a apresentar o mais rapidamente possível uma proposta de directiva do Parlamento Europeu e do Conselho relativa às assinaturas digitais;

(4) As comunicações e o comércio electrónicos necessitam de "assinaturas electrónicas" e de serviços a elas associados, que permitam a autenticação dos dados; a existência de regras divergentes quanto ao reconhecimento legal das assinaturas electrónicas e à acreditação dos prestadores de serviços de certificação nos Estados-Membros pode criar um obstáculo importante à utilização das comunicações electrónicas e do comércio electrónico, dificultando assim o desenvolvimento do mercado interno; por outro lado, a existência de um quadro comunitário claro para as assinaturas electrónicas reforça a confiança e a aceitação geral das novas tecnologias; a existência de legislações divergentes nos Estados-Membros cria obstáculos à livre circulação de bens e serviços no mercado interno;

(5) Deve ser promovida a interoperabilidade dos produtos associados às assinaturas electrónicas; que, nos termos do artigo 14.o do Tratado, o mercado interno compreende um espaço no qual a livre circulação das mercadorias é assegurada; devem ser satisfeitos os requisitos essenciais específicos dos produtos de assinatura electrónica, de modo a garantir a livre circulação no mercado interno e criar confiança nas assinaturas electrónicas, sem prejuízo do disposto no Regulamento (CE) n.o 3381/94 do Conselho, de 19 de Dezembro de 1994, que institui um regime comunitário de controlo da exportação de bens de dupla utilização(5), e da Decisão 94/942/PESC do Conselho, de 19 de Dezembro de 1994, relativa à acção comum, adoptada pelo Conselho respeitante ao controlo da exportação de bens de dupla utilização(6);

(6) A presente directiva não procura harmonizar a prestação de serviços no que diz respeito à confidencialidade da informação quando estes são abrangidos por disposições nacionais em matéria de ordem pública ou de segurança pública;

(7) O mercado interno implica a livre circulação de pessoas, em resultado da qual os cidadãoes e residentes na União Europeia necessitam cada vez mais de entrar em contacto com autoridades de Estados-Membros diferentes daquele em que residem; a disponibilidade de comunicações electrónicas pode prestar um grande serviço nesta matéria;

(8) O rápido desenvolvimento tecnológico e o carácter global da Internet exigem uma abordagem aberta às diversas tecnologias e serviços, capazes de autenticar electronicamente os dados;

(9) As assinaturas electrónicas serão utilizadas em circunstâncias e aplicações muito variadas, dando origem a uma ampla gama de novos serviços e produtos relacionados com, ou utilizando, assinaturas electrónicas; a definição desses produtos e serviços não se deve limitar à emissão e gestão de certificados, devendo igualmente abarcar todos os outros serviços e produtos que utilizam ou são auxiliares das assinaturas electrónicas, tais como serviços de registo, serviços de aposição de datas, serviços de repertório, serviços informáticos ou serviços de consultadoria relacionada com assinaturas electrónicas;

(10) O mercado interno permite que os prestadores de serviços de certificação desenvolvam as suas actividades transfronteiriças a fim de aumentarem a sua competitividade, oferecendo assim aos consumidores e às empresas novas oportunidades de intercâmbio de informação e de comércio por meios electrónicos de modo seguro, independentemente das fronteiras; para estimular a oferta de serviços de certificação à escala comunitária através de redes abertas, os prestadores de serviços de certificação devem poder fazê-lo sem necessidade de autorização prévia; a autorização prévia significa não só uma autorização pela qual o prestador de serviços de certificação obteve uma decisão das autoridades nacionais antes de ser autorizado a prestar serviços de certificação, referindo-se igualmente a quaisquer outras medidas que produzam o mesmo efeito;

(11) Os regimes de acreditação facultativa visando níveis mais elevados na oferta de serviços podem proporcionar aos prestadores de serviços de certificação o quadro adequado para desenvolverem os seus serviços, de modo a atingirem os níveis de confiança, segurança e qualidade exigidos por este mercado em evolução; tais regimes devem encorajar o desenvolvimento de boas práticas entre os prestadores de serviços de certificação; os prestadores de serviços de certificação devem ter a liberdade de aderir a estes regimes de acreditação e deles beneficiar;

(12) Deve existir a possibilidade de os serviços de certificação serem prestados tanto por uma entidade pública, como por uma pessoa singular ou colectiva, quando estabelecida nos termos da legislação nacional; os Estados-Membros não devem proibir os prestadores de serviços de certificação de operarem fora dos regimes de acreditação voluntários; deve garantir-se que esses regimes de acreditação não reduzam a concorrência nos serviços de certificação;

(13) Os Estados-Membros podem decidir o modo como procedem ao controlo da observância das disposições da presente directiva; a presente directiva não impede a criação de sistemas de controlo baseados no sector privado; a presente directiva não obriga os prestadores de serviços de certificação a solicitarem que eles próprios sejam objecto de controlo, de acordo com eventuais disposições aplicáveis em matéria de sistemas de acreditação;

(14) É importante obter um equilíbrio entre as necessidades dos consumidores e as das empresas;

(15) O anexo III contém os requisitos relativos aos dispositivos seguros de criação de assinaturas electrónicas, por forma a garantir a funcionalidade das assinaturas electrónicas avançadas; este anexo não abrange a totalidade da arquitectura do sistema em que esses dispositivos evoluem; o funcionamento do mercado interno exige que a Comissão e os Estados-Membros actuem rapidamente, a fim de permitir a designação das entidades encarregadas de avaliar a conformidade dos dispositivos seguros de assinatura com os requisitos constantes do anexo III; para satisfazer as necessidades do mercado, a avaliação da conformidade deve ser feita em tempo útil e de forma eficaz;

(16) A presente directiva contribui para a utilização e o reconhecimento legal das assinaturas electrónicas na Comunidade; não é necessário um quadro regulamentar para as assinaturas electrónicas utilizadas exclusivamente no âmbito de sistemas fechados que assentam em acordos voluntários de direito privado entre um número determinado de participantes; a liberdade de as partes acordarem entre si os termos e condições em que aceitam dados assinado electronicamente deve ser respeitada, dentro dos limites permitidos pela lei nacional; as assinaturas electrónicas utilizadas no âmbito de tais sistemas deverão produzir efeitos legais e ser admitidas como meios de prova em processos judiciais;

(17) A presente directiva não tem por objectivo harmonizar as disposições nacionais relativas à legislação contratual, designadamente a celebração e a execução de contratos, ou outras formalidades de natureza não contratual que exigem assinaturas; por esse motivo, as disposições relativas aos efeitos legais das assinaturas electrónicas não devem prejudicar os requisitos formais constantes da legislação nacional no que respeita à celebração de contratos ou às regras relativas à forma, que determinam o lugar onde um contrato é validamente celebrado;

(18) O arquivo e a cópia de dados de criação de assinaturas pode pôr em causa o reconhecimento legal das assinaturas electrónicas;

(19) As assinaturas electrónicas serão utilizadas no sector público no âmbito das administrações nacionais e comunitárias e nas comunicações entre essas administrações, assim como com os cidadãos e os operadores económicos, por exemplo em contratos públicos, em matéria de sistemas de fiscalidade, de segurança social, de saúde e judiciário;

(20) A definição de critérios harmonizados relativos aos efeitos legais das assinaturas electrónicas, criará um quadro legal comunitário coerente em toda a Comunidade; as legislações nacionais determinam os diferentes requisitos para o reconhecimento legal das assinaturas manuscritas; podem ser utilizados certificados para confirmar a identidade de uma pessoa que assine electronicamente; a existência de certificados qualificados e de assinaturas electrónicas avançadas tem por objectivo obter um nível de segurança mais elevado; as assinaturas electrónicas avançadas baseadas num certificado qualificado e criadas por um dispositivo seguro de criação de assinaturas apenas podem ser consideradas como juridicamente equivalentes às assinaturas manuscritas se obedecerem aos requisitos que para estas são exigidos;

(21) Para contribuir para uma aceitação generalizada dos métodos de reconhecimento das assinaturas electrónicas, deve garantir-se que estas possam ser utilizadas como elementos de prova para efeitos processuais perante as jurisdições de todos os Estados-Membros; o reconhecimento legal das assinaturas electrónicas deve basear-se em critérios objectivos e não estar ligado à autorização do prestador de serviços de certificação envolvido; a determinação dos domínios legais em que podem ser utilizados documentos electrónicos e assinaturas electrónicas é regida pelas legislações nacionais; a presente directiva não prejudica o poder de tribunais nacionais decidirem quanto à conformidade com os requisitos da presente directiva, nem afecta as disposições nacionais em matéria de liberdade de apreciação judicial das provas;

(22) Os prestadores de serviços de certificação que prestam os seus serviços ao público estão sujeitos às disposições nacionais em matéria de responsabilidade;

(23) O desenvolvimento do comércio electrónico internacional exige disposições transfronteiriças, que envolvam países terceiros; a fim de assegurar a interoperabilidade a nível mundial, poderá ser útil celebrar acordos com países terceiros sobre regras multilaterais aplicáveis ao reconhecimento mútuo de serviços de certificação;

(24) Para estimular a confiança dos utilizadores nas comunicações electrónicas e no comércio electrónico, os prestadores de serviços de certificação devem observar a legislação relativa à protecção dos dados e da vida privada dos cidadãos;

(25) As disposições relativas à utilização de pseudónimos em certificados não deve impedir os Estados-Membros de exigir a identificação das pessoas, nos termos da legislação comunitária ou nacional;

(26) As medidas necessárias à execução da presente directiva serão adoptadas nos termos da Decisão 1999/468/CE do Conselho, de 28 de Junho de 1999, que fixa as regras de exercício das competências de execução atribuídas à Comissão(7);

(27) A Comissão procederá à revisão da presente directiva, no prazo de dois anos após a sua entrada em vigor, nomeadamente para garantir que o progresso da tecnologia ou as modificações do quadro legal não venham a criar obstáculos à prossecução dos objectivos por ela visados; a Comissão deveria analisar as implicações das questões de ordem técnica conexas e apresentar um relatório sobre esta matéria ao Parlamento Europeu e ao Conselho;

(28) De acordo com os princípios da subsidiariedade e da proporcionalidade, tal como constam do artigo 5.o do Tratado, o objectivo da criação de um quadro legal harmonizado para a oferta de assinaturas electrónicas e serviços conexos não pode ser suficientemente realizado pelos Estados-Membros e pode, pois, ser melhor alcançado pela Comunidade; as disposições da presente directiva não excedem o necessário para atingir esse objectivo,

ADOPTARAM A PRESENTE DIRECTIVA:

Artigo 1.o

Âmbito de aplicação

A presente directiva tem por objectivo facilitar a utilização das assinaturas electrónicas e contribuir para o seu reconhecimento legal. Institui um quadro legal comunitário para assinaturas electrónicas e para serviços de certificação, a fim de garantir o funcionamento adequado do mercado interno.

A presente directiva não cobre aspectos relacionados com a celebração e a validade de contratos ou a constituição de outras obrigações legais para os quais a legislação nacional ou comunitária preveja determinados requisitos em matéria de forma, nem afecta as normas e as restrições constantes da legislação, nacional ou comunitária, que regem a utilização de documentos.

Artigo 2.o

Definições

Para efeitos da presente directiva, entende-se por:

1. "Assinatura electrónica", os dados sob forma electrónica, ligados ou logicamente associados a outros dados electrónicos, e que sejam utilizados como método de autenticação.

2. "Assinatura electrónica avançada", uma assinatura electrónica que obedeça aos seguintes requisitos:

a) Estar associada inequivocamente ao signatário;

b) Permitir identificar o signatário;

c) Ser criada com meios que o signatário pode manter sob seu controlo exclusivo; e

d) Estar ligada aos dados a que diz respeito, de tal modo que qualquer alteração subsequente dos dados seja detectável.

3. "Signatário", uma pessoa singular que detém um dispositivo de criação de assinaturas e o utiliza em seu próprio nome, ou em nome da pessoa singular ou colectiva ou da entidade que representa.

4. "Dados de criação de assinaturas", um conjunto único de dados, como códigos ou chaves criptográficas privadas, usado pelo signatário para a criação de uma assinatura electrónica.

5. "Dispositivo de criação de assinaturas", um logicial configurado ou dispositivo de equipamento utilizado para possibilitar o tratamento dos dados de criação de assinaturas.

6. "Dispositivo seguro de criação de assinaturas", um dispositivo de criação de assinaturas conforme com os requisitos constantes do anexo III.

7. "Dados de verificação de assinaturas", um conjunto de dados, como códigos ou chaves criptográficas públicas, usado para verificar a assinatura electrónica.

8. "Dispositivo de verificação de assinaturas", um logicial configurado ou dispositivo de equipamento utilizado no tratamento dos dados de verificação de assinaturas.

9. "Certificado", um atestado electrónico que liga os dados de verificação de assinaturas a uma pessoa e confirma a identidade dessa pessoa.

10. "Certificado qualificado", um certificado que obedece aos requisitos constantes do anexo I e é fornecido por um prestador de serviços de certificação que cumpre os requisitos constantes do anexo II.

11. "Prestador de serviços de certificação", uma entidade ou uma pessoa singular ou colectiva que emite certificados ou presta outros serviços relacionados com assinaturas electrónicas.

12. "Produto de assinatura electrónica", os meios físicos ou lógicos, ou seus componentes quer destinados a ser utilizados por um prestador de serviços de certificação na prestação dos seus serviços de assinatura electrónica, quer destinados a ser utilizados na criação ou verificação de assinaturas electrónicas.

13. "Acreditação facultativa", qualquer autorização que estabeleça direitos e obrigações específicos para a prestação de serviços de certificação, concedida, a pedido do prestador, pela entidade pública ou privada encarregada da elaboração desses direitos e obrigações e do controlo do seu cumprimento, quando o prestador de serviços de certificação não possa exercer os direitos decorrentes da autorização antes de ser informado da decisão daquela entidade.

Artigo 3.o

Acesso ao mercado

1. Os Estados-Membros não devem sujeitar a prestação de serviços de certificação a autorização prévia.

2. Sem prejuízo do disposto no n.o 1, os Estados-Membros podem introduzir ou manter regimes de acreditação facultativos que se destinem a obter níveis mais elevados na oferta dos serviços de certificação. Todas as condições relacionadas com estes regimes devem ser objectivas, transparentes, proporcionadas e não discriminatórias. Os Estados-Membros não devem limitar o número de prestadores de serviços de certificação acreditados por motivos abrangidos pela presente directiva.

3. Os Estados-Membros assegurarão a criação de um sistema adequado de controlo de prestadores de serviços de certificação estabelecidos no seu território que procedem à emissão de certificados qualificados destinados ao público.

4. A conformidade dos dispositivos seguros de criação de assinaturas com os requisitos constantes do anexo III é avaliada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros. A Comissão, nos termos do artigo 9.o, estabelecerá os critérios que os Estados-Membros devem observar para decidir se uma entidade pode ser designada.

A determinação da conformidade com os requisitos constantes do anexo III, efectuada por estas entidades, será reconhecida por todos os Estados-Membros.

5. A Comissão pode, nos termos do artigo 9.o, estabelecer e publicar no Jornal Oficial das Comunidades Europeias números de referência de normas largamente reconhecidas para produtos de assinatura electrónica. Os Estados-Membros presumirão a conformidade com os requisitos constantes da alínea f) do anexo II e do anexo III, sempre que um produto de assinatura electrónica obedeça a estas normas.

6. Os Estados-Membros e a Comissão cooperarão na promoção do desenvolvimento e utilização de dispositivos de verificação de assinaturas, à luz das recomendações relativas à verificação segura de assinaturas, constantes do anexo IV, e dos interesses dos consumidores.

7. Os Estados-Membros podem submeter a utilização de assinaturas electrónicas no sector público a eventuais requisitos adicionais. Esses requisitos devem ser objectivos, transparentes, proporcionados e não discriminatórios e dizer apenas respeito às características específicas da utilização específica em causa. Esses requisitos não devem constituir para o cidadão um obstáculo aos serviços transfronteiriços.

Artigo 4.o

Princípios relativos ao mercado interno

1. Cada Estado-Membro aplicará as disposições nacionais que adoptar de acordo com a presente directiva aos prestadores de serviços de certificação estabelecidos no seu território e aos serviços por eles prestados. Os Estados-Membros não podem restringir a prestação de serviços de certificação com origem noutro Estado-Membro nos domínios abrangidos pela presente directiva.

2. Os Estados-Membros assegurarão que os produtos de assinatura electrónica que sejam conformes com a presente directiva possam circular livremente no mercado interno.

Artigo 5.o

Efeitos legais das assinaturas electrónicas

1. Os Estados-Membros assegurarão que as assinaturas electrónicas avançadas baseadas num certificado qualificado e criadas através de dispositivos seguros de criação de assinaturas:

a) Obedecem aos requisitos legais de uma assinatura no que se refere aos dados sob forma digital, do mesmo modo que uma assinatura manuscrita obedece àqueles requisitos em relação aos dados escritos; e

b) São admissíveis como meio de prova para efeitos processuais.

2. Os Estados-Membros assegurarão que não sejam negados a uma assinatura electrónica os efeitos legais e a admissibilidade como meio de prova para efeitos processuais apenas pelo facto de:

- se apresentar sob forma electrónica,

- não se basear num certificado qualificado,

- não se basear num certificado qualificado emitido por um prestador de serviços de certificação acreditado,

- não ter sido criada através de um dispositivo seguro de criação de assinaturas.

Artigo 6.o

Responsabilidade

1. Os Estados-Membros assegurarão, no mínimo, que, ao emitir um certificado qualificado destinado ao público ou ao apor a garantia num certificado destinado ao público, um prestador de serviços de certificação seja responsável por prejuízos causados a qualquer entidade ou pessoa singular ou colectiva que confie, de forma razoável, no certificado, no que respeita:

a) À exactidão de todas as informações constantes do certificado qualificado no momento da emissão e à inclusão, no certificado, de todas as indicações prescritas para um certificado reconhecido;

b) À garantia de que, no momento da emissão do certificado, a assinatura identificada no certificado qualificado obedecia aos dados de criação de assinaturas correspondentes aos dados de verificação de assinaturas incluídos ou identificados no certificado;

c) À garantia de que os dados de criação de assinaturas e os dados de verificação de assinaturas podem ser utilizados de modo complementar, nos casos em que o prestador de serviços de certificação gira ambos os dispositivos;

excepto se o prestador de serviços de certificação provar que não actuou de forma negligente.

2. Os Estados-Membros assegurarão, no mínimo, que um prestador de serviços de certificação que tenha emitido um certificado qualificado destinado ao público, seja responsável pelos prejuízos causados a qualquer entidade ou pessoa singular ou colectiva que confie razoavelmente no certificado, por omissão do registo da retirada do certificado, excepto se o prestador de serviços de certificação provar que não actuou de forma negligente.

3. Os Estados-Membros assegurarão que um prestador de serviços de certificação possa indicar no certificado qualificado os limites da sua utilização. Estes limites devem ser identificáveis por terceiros. O prestador de serviços de certificação não será responsável por prejuízos decorrentes da utilização de um certificado qualificado que exceda os limites que lhe são próprios.

4. Os Estados-Membros assegurarão que um prestador de serviços de certificação possa indicar no certificado qualificado um limite para o valor das transacções nas quais o certificado pode ser utilizado, desde que esse limite seja identificável por terceiros.

O prestador de serviços de certificação não é responsável por danos resultantes da não observância deste limite máximo.

5. As disposições dos n.os 1 a 4 não prejudicam o disposto na Directiva 93/13/CEE do Conselho, de 5 de Abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores(8).

Artigo 7.o

Aspectos internacionais

1. Os Estados-Membros assegurarão que os certificados emitidos ao público, enquanto certificados qualificados, por um prestador de serviços de certificação estabelecido num país terceiro sejam considerados legalmente equivalentes aos certificados emitidos por um prestador de serviços de certificação estabelecido na Comunidade, desde que:

a) O prestador de serviços de certificação obedeça aos requisitos constantes da presente directiva e tenha sido acreditado sob um regime de acreditação facultativa vigente num Estado-Membro; ou

b) O prestador de serviços de certificação estabelecido na Comunidade e que cumpre os requisitos da presente directiva garanta o certificado; ou

c) O certificado ou o prestador de serviços de certificação seja reconhecido com base num regime de acordo bilateral ou multilateral entre a Comunidade e países terceiros ou organizações internacionais.

2. Para facilitar os serviços de certificação transfronteiriça que envolvam países terceiros e o reconhecimento legal de assinaturas electrónicas avançadas originárias de países terceiros, a Comissão deverá apresentar, sempre que adequado, propostas destinadas a obter a aplicação efectiva de normas e acordos internacionais aplicáveis aos serviços de certificação. Em especial, sempre que necessário, deverá apresentar ao Conselho propostas de mandatos adequados de negociação de acordos bilaterais e multilaterais com países terceiros e organizações internacionais. O Conselho deliberará por maioria qualificada.

3. Sempre que a Comissão seja informada de eventuais dificuldades encontradas pelas empresas comunitárias no que diz respeito ao acesso ao mercado de países terceiros, poderá, se necessário, apresentar ao Conselho propostas sobre um mandato adequado de negociação de direitos comparáveis para as empresas comunitárias nesses países terceiros. O Conselho deliberará por maioria qualificada.

As medidas adoptadas nos termos do presente número não prejudicarão as obrigações da Comunidade e dos Estados-Membros decorrentes dos acordos internacionais pertinentes.

Artigo 8.o

Protecção de dados

1. Os Estados-Membros assegurarão que os prestadores de serviços de certificação e os organismos nacionais responsáveis pela acreditação ou controlo cumpram os requisitos constantes da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(9).

2. Os Estados-Membros garantirão que um prestador de serviços de certificação que emite certificados destinados ao público só possa recolher dados pessoais directamente junto da pessoa a quem esses dados dizem respeito, ou depois de obtido o seu consentimento expresso e apenas na medida do necessário para a emissão e manutenção do certificado. Os dados não podem ser recolhidos ou processados para quaisquer outros fins sem o consentimento explícito da pessoa a quem os dados dizem respeito.

3. Sem prejuízo dos efeitos legais dos pseudónimos nas legislações nacionais, os Estados-Membros não poderão impedir que os prestadores de serviços de certificação indiquem no certificado um pseudónimo em vez do nome do signatário.

Artigo 9.o

Comité

1. A Comissão será assistida pelo "Comité da Assinatura Electrónica", a seguir designado por "comité".

2. Sempre que se faça referência ao presente número, são aplicáveis os artigos 4.o e 7.o da Decisão 1999/468/CE, tendo em conta o disposto no seu artigo 8.o

O período previsto no n.o 3 do artigo 4.o da Decisão 1999/468/CE é fixado em três meses.

3. O comité aprovará o seu regulamento interno.

Artigo 10.o

Competências do comité

O comité procederá à clarificação dos requisitos constantes dos anexos, ao estabelecimento dos critérios referidos no n.o 4 do artigo 3.o e das normas geralmente reconhecidas para produtos de assinatura electrónica estabelecidos e publicados nos termos do n.o 5 do artigo 3.o nos termos do n.o 2 do artigo 9.o

Artigo 11.o

Notificação

1. Os Estados-Membros notificarão a Comissão e os outros Estados-Membros do seguinte:

a) Elementos relativos aos regimes nacionais de acreditação facultativa, incluindo eventuais requisitos suplementares, nos termos do n.o 7 do artigo 3.o;

b) Nomes e endereços dos organismos nacionais responsáveis pela acreditação e controlo e das entidades referidas no n.o 4 do artigo 3.o;

c) Nomes e endereços de todos os prestadores de serviços de certificação nacionais acreditados.

2. Todas as informações prestadas nos termos do n.o 1 e eventuais alterações respeitantes a essas informações serão notificadas pelos Estados-Membros, no mais breve prazo.

Artigo 12.o

Revisão

1. A Comissão procederá à reavaliação do funcionamento da presente directiva e apresentará um primeiro relatório sobre esta matéria ao Parlamento Europeu e ao Conselho, o mais tardar até 19 de Julho de 2003.

2. A reavaliação determinará, nomeadamente, a eventual alteração do âmbito da directiva, tendo em conta a evolução da tecnologia, do mercado e da legislação. O relatório incluirá, em especial, uma avaliação, com base na experiência adquirida, das questões ligadas à harmonização. O relatório será eventualmente acompanhado de propostas legislativas.

Artigo 13.o

Aplicação

1. Os Estados-membros porão em vigor as disposições legislativas, regulamentares e administrativas necessárias para darem cumprimento à presente directiva, até 19 de Julho de 2001. Os Estados-Membros informarão imediatamente a Comissão desse facto.

Quando os Estados-Membros adoptarem tais disposições, estas devem incluir uma referência à presente directiva ou ser acompanhadas dessa referência aquando da sua publicação oficial. As modalidades dessa referência serão adoptadas pelos Estados-Membros.

2. Os Estados-Membros comunicarão à Comissão o texto das principais disposições de direito nacional que venham a adoptar no domínio regido pela presente directiva.

Artigo 14.o

Entrada em vigor

A presente directiva entrará em vigor na data da sua publicação no Jornal Oficial das Comunidades Europeias.

Artigo 15.o

Destinatários

Os Estados-Membros são os destinatários da presente directiva.

Feito em Bruxelas, em 13 de Dezembro de 1999.

Pelo Parlamento Europeu

O Presidente

N. FONTAINE

Pelo Conselho

O Presidente

S. HASSI

(1) JO C 325 de 23.10.1998, p. 5.

(2) JO C 40 de 15.2.1999, p. 29.

(3) JO C 93 de 6.4.1999, p. 33.

(4) Parecer do Parlamento Europeu de 13 de Janeiro de 1999 (JO C 104 de 14.4.1999, p. 49), posição comum do Conselho de 28 de Junho de 1999 (JO C 243 de 27.8.1999, p. 33) e decisão do Parlamento Europeu de 27 de Outubro de 1999 (ainda não publicada no Jornal Oficial). Decisão do Conselho de 30 de Novembro de 1999.

(5) JO L 367 de 31.12.1994, p. 1. Regulamento alterado pelo Regulamento (CE) n.o 837/95 (JO L 90 de 21.4.1995, p. 1).

(6) JO L 367 de 31.12.1994, p. 8. Decisão com a última redacção que lhe foi dada pela Decisão 1999/193/PESC (JO L 73 de 17.3.1999, p. 1).

(7) JO L 184 de 17.7.1999, p. 23.

(8) JO L 95 de 21.4.1993, p. 29.

(9) JO L 281 de 23.11.1995, p. 31.

ANEXO I

Requisitos aplicáveis aos certificados qualificados

Um certificado qualificado deve conter:

a) Uma indicação de que o certificado é emitido como certificado qualificado;

b) A identificação do prestador de serviços de certificação e o país em que está estabelecido;

c) O nome do signatário ou um pseudónimo, que deve ser identificado como tal;

d) Uma cláusula para a inclusão, se relevante, de um atributo específico do signatário, segundo os objectivos visados com a emissão do certificado;

e) Os dados de verificação de assinaturas correspondentes aos dados de criação de assinaturas que estejam sob o controlo do signatário;

f) Identificação da data de início e de fim do prazo de validade do certificado;

g) O código de identidade do certificado;

h) A assinatura electrónica avançada do prestador de serviços de certificação que o emite;

i) As restrições ao âmbito de utilização do certificado, se for o caso; e

j) As restrições ao valor das transacções nas quais o certificado pode ser utilizado, se for o caso.

ANEXO II

Requisitos aplicáveis aos prestadores de serviços de certificação que emitem certificados qualificados

Os prestadores de serviços de certificação devem:

a) Demonstrar a fiabilidade necessária para a prestação de serviços de certificação;

b) Assegurar o funcionamento de um serviço de reportório rápido e seguro e de um serviço de anulação seguro e imediato;

c) Assegurar com precisão a possibilidade de verificação da data e hora de emissão ou anulação de cada certificado;

d) Verificar, através dos meios adequados e de acordo com a legislação nacional, a identidade e, se for caso disso, os atributos específicos da entidade ou pessoa singular ou colectiva à qual é emitido um certificado qualificado;

e) Empregar pessoal que possua os conhecimentos, experiência e qualificações necessários para os serviços prestados, nomeadamente competência em matéria de gestão e das tecnologias de assinaturas electrónicas, bem como familiaridade com os processos de segurança adequados; devem ainda saber aplicar processos administrativos e de gestão que sejam adequados e correspondam a normas reconhecidas;

f) Utilizar sistemas e produtos fiáveis que estejam protegidos contra modificações e que garantam a segurança técnica e criptográfica dos processos para os quais estejam previstos;

g) Tomar medidas contra a falsificação de certificados e, nos casos em que o prestador de serviços de certificação gere dados de criação de assinaturas, garantir a confidencialidade durante o processo de criação desses dados;

h) Ser dotados de recursos financeiros suficientes para actuarem de acordo com os requisitos constantes da presente directiva, nomeadamente para assumirem os riscos decorrentes da responsabilidade por danos, por exemplo através de uma apólice de seguro adequada;

i) Registar todas as informações relevantes relativas a um certificado qualificado durante um período de tempo adequado, nomeadamente para fornecer elementos de prova de certificação para efeitos processuais. Este registo poderá ser feito electronicamente;

j) Não armazenar ou copiar dados de criação de assinaturas da pessoa a quem o prestador de serviços de certificação tenha oferecido serviços de gestão de chaves;

k) Antes de iniciar uma relação contratual com uma pessoa que deseje obter um certificado para a sua assinatura electrónica, informar essa pessoa, através de meios duráveis de comunicação, dos termos e condições exactos de utilização do certificado, incluindo eventuais limitações à utilização deste, da existência de um regime de acreditação facultativa e dos processos de apresentação de queixas e de resolução de litígios. Essas informações devem ser apresentadas por escrito, podendo ser transmitidas por meios electrónicos, e devem utilizar uma linguagem facilmente compreensível. A pedido destes, deverão igualmente ser facultadas a terceiros que confiem no certificado, elementos relevantes desta informação;

l) Utilizar sistemas fiáveis de armazenagem dos certificados num formato verificável, de modo a que:

- apenas as pessoas autorizadas possam introduzir dados e alterações,

- a autenticidade das informações possa ser verificada,

- os certificados só possam ser consultados pelo público nos casos em que tenha sido obtido o consentimento do detentor do certificado, e

- quaisquer alterações de carácter técnico susceptíveis de prejudicar esses requisitos de segurança sejam imediatamente visíveis pelo operador.

ANEXO III

Requisitos respeitantes aos dispositivos seguros de criação de assinaturas electrónicas

1. Os dispositivos seguros de criação de assinaturas devem assegurar, pelo menos, através de meios técnicos e processuais adequados, que:

a) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura só podem ocorrer, em termos práticos, uma única vez, e que a confidencialidade desses dados se encontra razoavelmente assegurada;

b) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura não podem, com uma segurança razoável, ser deduzidos de outros dados e que esta está protegida contra falsificações realizadas através das tecnologias actualmente disponíveis;

c) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura podem ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

2. Os dispositivos seguros de criação de assinaturas não devem modificar os dados que carecem de assinatura, nem impedir que esses dados sejam apresentados ao signatário antes do processo de assinatura.

ANEXO IV

Recomendações relativas à verificação segura de assinaturas

Durante o processo de verificação de assinaturas dever-se-á garantir, com uma razoável certeza, que:

a) Os dados utilizados para verificar as assinaturas correspondem aos dados exibidos ao verificador;

b) A assinatura é verificada com fiabilidade e o resultado dessa verificação é exibido correctamente;

c) O verificador pode, se necessário, definir com fiabilidade o conteúdo dos dados assinados;

d) A autenticidade e a validade do certificado solicitadas no momento da verificação da assinatura são verificadas com fiabilidade;

e) O resultado da verificação e a identidade do signatário são exibidas de forma correcta;

f) A utilização de um pseudónimo é claramente indicada;

g) Podem ser detectadas eventuais alterações pertinentes em matéria de segurança.