(1)

Cadrul pentru identitatea digitală europeană instituit prin Regulamentul (UE) nr. 910/2014 este o un element-cheie în cadrul demersului de instituire a unui ecosistem pentru identitatea digitală securizat și interoperabil în întreaga Uniune. Portofelele europene pentru identitatea digitală (denumite în continuare „portofelele”) alcătuiesc temelia acestui cadru care are drept scop facilitarea accesului la servicii în toate statele membre, asigurând în același timp protecția datelor cu caracter personal și a confidențialității.

(2)

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (2) și, după caz, Directiva 2002/58/CE a Parlamentului European și a Consiliului (3) se aplică tuturor activităților de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.

(3)

Articolul 5a alineatul (23) din Regulamentul (UE) nr. 910/2014 împuternicește Comisia să stabilească, dacă este necesar, specificațiile și procedurile relevante. Pentru aceasta sunt prevăzute patru regulamente de punere în aplicare: unul privind protocoalele și interfețele: Regulamentul de punere în aplicare (UE) 2024/2982 al Comisiei (4), unul privind integritatea și funcționalitățile de bază: Regulamentul de punere în aplicare (UE) 2024/2979 al Comisiei (5), unul privind datele de identificare personală și atestatul electronic al atributelor: Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei (6) și unul privind notificările transmise Comisiei: Regulamentul de punere în aplicare (UE) 2024/2980 al Comisiei (7). Prezentul regulament stabilește cerințele relevante privind datele de identificare personală și atestatele electronice ale atributelor emise portofelelor europene pentru identitatea digitală.

(4)

Comisia evaluează periodic noile tehnologii, practici, standarde sau specificații tehnice. Pentru a asigura cel mai înalt nivel de armonizare între statele membre în ceea ce privește dezvoltarea și certificarea portofelelor, specificațiile tehnice prevăzute în prezentul regulament de punere în aplicare se întemeiază pe activitatea desfășurată pe baza Recomandării (UE) 2021/946 a Comisiei din 3 iunie 2021 privind un set de instrumente comun al Uniunii pentru o abordare coordonată în direcția unui cadru european al identității digitale (8), în special pe arhitectura și cadrul de referință care fac parte din acest set de instrumente. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului (9), Comisia ar trebui să revizuiască și să actualizeze prezentul regulament de punere în aplicare, dacă este necesar, pentru a îl menține aliniat la evoluțiile mondiale și la arhitectura și cadrul de referință, precum și pentru a respecta cele mai bune practici de pe piața internă.

(5)

Pentru a asigura protecția datelor începând cu momentul conceperii și în mod implicit, portofelele ar trebui să dispună de mai multe caracteristici de îmbunătățire a confidențialității pentru a-i împiedica pe furnizorii de mijloace de identificare electronică și de atestate electronice ale atributelor să combine datele cu caracter personal obținute atunci când furnizează alte servicii cu datele cu caracter personal prelucrate pentru a furniza serviciile care intră în domeniul de aplicare al Regulamentului (UE) nr. 910/2014.

(6)

Pentru a asigura armonizarea, anumite funcționalități comune ar trebui să fie disponibile în toate portofelele, inclusiv capacitatea de a solicita, a obține, a selecta, a combina, a stoca, a șterge, a partaja și a prezenta într-o manieră securizată, sub controlul exclusiv al utilizatorului portofelului, datele de identificare personală și atestatele electronice ale atributelor. Pentru a asigura faptul că datele de identificare personală și atestatele electronice ale atributelor pot fi prelucrate prin oricare unitate de portofel, specificațiile tehnice privind atributele datelor de identificare personală, formatul datelor și infrastructura necesară pentru asigurarea fiabilității adecvate a datelor de identificare personală trebuie să fie suportate de toate soluțiile pentru portofel. În plus, prevederea unor specificații comune pentru atributele datelor de identificare personală este menită să asigure faptul că aceste date pot fi utilizate pentru corelarea identității, după caz.

(7)

Statele membre trebuie să se asigure că beneficiarii portofelelor, furnizorii de date de identificare personală și furnizorii de atestate electronice ale atributelor pot fi autentificați prin intermediul portofelelor, indiferent unde sunt stabiliți în Uniune. În acest sens, aceste entități ar trebui să utilizeze certificate de acces pentru beneficiarii portofelelor atunci când se identifică în cadrul unităților de portofel. Pentru a garanta interoperabilitatea acestor certificate între diferitele portofelele puse la dispoziție pe teritoriul Uniunii, certificatele de acces pentru beneficiarii portofelelor ar trebui să respecte standarde comune. Comisia, în colaborare cu statele membre, ar trebui să monitorizeze îndeaproape dezvoltarea unor standarde noi sau alternative pe baza cărora ar putea fi elaborate certificatele de acces pentru beneficiarii portofelelor. În special, ar trebui evaluate modelele de încredere care și-au dovedit eficacitatea și securitatea în statele membre.

(8)

Pentru a asigura transparența față de utilizatorii portofelelor, statele membre ar trebui să publice informații în care să indice care sunt soluțiile pentru portofel sprijinite de furnizorii de date de identificare personală stabiliți pe teritoriul lor. Întrucât identitatea utilizatorilor trebuie să fie stabilită cât mai fiabil posibil, ar trebui să se impună un nivel de asigurare comun ridicat în ceea ce privește dovedirea identității utilizatorilor portofelelor înainte de emiterea datelor de identificare personală, în conformitate cu nivelul de asigurare ridicat prevăzut pentru mijloacele de identificare electronică în temeiul Regulamentului (UE) nr. 910/2014. În acest mod, unitățile de portofel garantează cel mai înalt grad de fiabilitate disponibil la nivelul întregii Uniuni pentru mijloacele de identificare. În timpul înregistrării utilizatorilor portofelelor la un nivel de asigurare ridicat, există mai multe proceduri securizate disponibile, de exemplu, în cazul în care s-a verificat faptul că utilizatorul unui portofel deține dovezi foto sau biometrice de identificare care sunt recunoscute, dar care nu au fost emise de statul membru în care se depune cererea pentru mijloacele de identificare electronică și dacă dovezile în cauză corespund identității declarate de acesta, ar trebui să se verifice dovezile respective pentru a se stabili dacă acestea sunt valabile conform unei surse de autoritate relevante.

(9)

Pentru a sprijini interoperabilitatea, atestatele electronice ale atributelor ar trebui să respecte o serie de cerințe armonizate privind formatul.

(10)

Pentru a se asigura protecția datelor utilizatorilor portofelelor și autenticitatea atestatelor electronice ale atributelor, înainte de emiterea atestatelor către unitățile de portofel ar trebui să se aplice mecanisme de autentificare a furnizorilor de atestate electronice ale atributelor și de verificare de către furnizorii respectivi a autenticității și a valabilității unităților de portofel.

(11)

Pentru a se evita situația utilizării unor date de identificare personală și a unor atestate electronice ale atributelor care și-au pierdut valabilitatea juridică după ce au fost emise unei unități de portofel, precum și a creditării cu încredere a unor astfel de date și atestate, furnizorii de date de identificare personală și de atestate electronice ale atributelor ar trebui să publice politici în care să descrie în ce situații acestea pot fi revocate și care sunt procedurile de urmat.

(12)

Pentru a se asigura faptul că datele de identificare personală îl reprezintă într-o manieră univocă pe un anumit utilizator al unui portofel, statele membre ar trebui să furnizeze, pe lângă atributele obligatorii din datele de identificare personală prevăzute în prezentul regulament, și atribute opționale, necesare pentru a se asigura faptul că respectivul set de date de identificare personală este unic.

(13)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (10) și a emis un aviz la 30 septembrie 2024.

(14)

Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului menționat la articolul 48 din Regulamentul (UE) nr. 910/2014,

1.

„utilizator al portofelului” înseamnă un utilizator care deține controlul asupra unității de portofel;

2.

„unitate de portofel” înseamnă o configurație unică a unei soluții pentru portofel care include instanțe ale portofelului, aplicații criptografice securizate pentru portofel și dispozitive criptografice securizate pentru portofel, furnizată de un furnizor de portofel unui utilizator individual al portofelului;

3.

„soluție pentru portofel” înseamnă o combinație de software, hardware, servicii, setări și configurații, inclusiv instanțe ale portofelului, una sau mai multe aplicații criptografice securizate pentru portofel și unul sau mai multe dispozitive criptografice securizate pentru portofel;

4.

„furnizor de date de identificare personală” înseamnă o persoană fizică sau juridică responsabilă cu emiterea și revocarea datelor de identificare personală și cu asigurarea faptului că datele de identificare personală ale unui utilizator sunt legate criptografic de o unitate de portofel;

5.

„atestat al unității de portofel” înseamnă un obiect de date care descrie componentele unității de portofel sau permite autentificarea și validarea componentelor respective;

6.

„instanță a portofelului” înseamnă aplicația instalată și configurată pe dispozitivul sau în mediul unui utilizator al unui portofel, care face parte dintr-o unitate de portofel și pe care utilizatorul portofelului o folosește pentru a interacționa cu unitatea de portofel;

7.

„aplicație criptografică securizată pentru portofel” înseamnă o aplicație care gestionează active critice prin faptul că este legată de funcțiile criptografice și necriptografice furnizate de dispozitivul criptografic securizat pentru portofel și că utilizează aceste funcții;

8.

„dispozitiv criptografic securizat pentru portofel” înseamnă un dispozitiv inviolabil care oferă un mediu legat de aplicația criptografică securizată pentru portofel și utilizat de aceasta pentru a proteja activele critice și pentru a furniza funcții criptografice pentru executarea securizată a operațiunilor critice;

9.

„furnizor de portofel” înseamnă o persoană fizică sau juridică care furnizează soluții pentru portofel;

10.

„active critice” înseamnă active din cadrul unei unități de portofel sau legate de o astfel de unitate care au o importanță atât de extraordinară încât, în cazul în care disponibilitatea, confidențialitatea sau integritatea lor este compromisă, acest lucru ar avea un efect foarte grav, de slăbire a capacității de a recurge la unitatea de portofel;

11.

„beneficiar al portofelului” înseamnă un beneficiar care intenționează să recurgă la unități de portofel pentru furnizarea de servicii publice sau private prin intermediul interacțiunii digitale;

12.

„certificat de acces pentru beneficiarii portofelelor” înseamnă un certificat pentru sigiliile electronice sau semnăturile electronice care îi autentifică și îi validează pe beneficiarii portofelelor, eliberat de un furnizor de certificate de acces pentru beneficiarii portofelelor;

13.

„furnizor de certificate de acces pentru beneficiarii portofelelor” înseamnă o persoană fizică sau juridică mandatată de un stat membru să elibereze certificate de acces pentru beneficiarii portofelelor înregistrați în statul membru respectiv.