7.5.2014

PT

Jornal Oficial da União Europeia

L 134/32

---

REGULAMENTO DE EXECUÇÃO (UE) N.o 463/2014 DA COMISSÃO

de 5 de maio de 2014

que define, na sequência do Regulamento (UE) n.o 223/2014 do Parlamento Europeu e do Conselho relativo ao Fundo de Auxílio Europeu às Pessoas mais Carenciadas, os termos e as condições aplicáveis ao sistema de intercâmbio eletrónico de dados entre os Estados-Membros e a Comissão

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta o Regulamento (UE) n.o 223/2014 do Parlamento Europeu e do Conselho, de 11 de março de 2014, relativo ao Fundo de Auxílio Europeu às Pessoas mais Carenciadas (1), nomeadamente o artigo 30.o, n.o 4,

Considerando o seguinte:

(1)

Nos termos do artigo 30.o, n.o 4, do Regulamento (UE) n.o 223/2014, o intercâmbio oficial de informações entre o Estado-Membro e a Comissão deve ser efetuado através de um sistema de intercâmbio eletrónico de dados. Por conseguinte, é necessário estabelecer os termos e as condições aplicáveis a esse sistema de intercâmbio eletrónico de dados.

(2)	A fim de garantir uma maior qualidade de informações sobre a execução dos programas operacionais, a melhoria da utilidade do sistema e a sua simplificação, é necessário especificar requisitos de base para a forma e o conteúdo das informações que devem ser objeto de intercâmbio.

(3)	É necessário especificar princípios, bem como regras aplicáveis ao funcionamento do sistema no que respeita à identificação das entidades responsáveis pelo carregamento de documentos para o sistema e por eventuais atualizações posteriores.

(4)	A fim de garantir a redução da carga administrativa para os Estados-Membros e a Comissão e, ao mesmo tempo, assegurar a eficiência e a eficácia do intercâmbio eletrónico de informações, é necessário determinar as características técnicas do sistema.

(5)

Os Estados-Membros e a Comissão devem igualmente ter a possibilidade de codificar e transferir dados de duas formas diferentes a especificar. É também necessário prever regras para casos de força maior que impeçam a utilização do sistema de intercâmbio eletrónico de dados, para garantir que tanto os Estados-Membros como a Comissão possam prosseguir o intercâmbio de informações através de meios alternativos.

(6)

Os Estados-Membros e a Comissão devem garantir que a transferência de dados através do sistema de intercâmbio eletrónico de dados é realizada de modo seguro, permitindo a disponibilidade, a integridade, a autenticidade, a confidencialidade e a não repudiação de informações. Por conseguinte, devem ser definidas regras de segurança.

(7)

O presente regulamento deve respeitar os direitos fundamentais e observar os princípios enunciados na Carta dos Direitos Fundamentais da União Europeia, nomeadamente o direito à proteção dos dados pessoais. Por isso, o presente regulamento deve ser aplicado em conformidade com esses direitos e princípios. No que respeita aos dados pessoais tratados pelos Estados-Membros, aplica-se a Diretiva 95/46/CE do Parlamento Europeu e do Conselho (2). No que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos da União e à livre circulação desses dados, aplica-se o Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (3).

(8)	A fim de permitir a rápida aplicação das medidas previstas no presente regulamento, este deve entrar em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

(9)	As medidas previstas no presente regulamento estão em conformidade com o parecer do Comité do Fundo de Auxílio Europeu às Pessoas mais Carenciadas,

ADOTOU O PRESENTE REGULAMENTO:

CAPÍTULO I

DISPOSIÇÕES DE EXECUÇÃO DO REGULAMENTO (UE) N.O 223/2014 NO QUE RESPEITA AO FUNDO DE AUXÍLIO EUROPEU ÀS PESSOAS MAIS CARENCIADAS

SISTEMA DE INTERCÂMBIO ELETRÓNICO DE DADOS

[Por força do artigo 30.o, n.o 4, do Regulamento (UE) n.o 223/2014]

Artigo 1.o

Estabelecimento do sistema de intercâmbio eletrónico de dados

A Comissão deve estabelecer um sistema de intercâmbio eletrónico de dados para todos os intercâmbios oficiais de informações entre o Estado-Membro e a Comissão.

Artigo 2.o

Conteúdo do sistema de intercâmbio eletrónico de dados

O sistema de intercâmbio eletrónico de dados (a seguir designado «SFC2014») deve conter, pelo menos, as informações previstas nos modelos, nos formatos e nas minutas estabelecidos em conformidade com o Regulamento (UE) n.o 223/2014. As informações fornecidas nos formulários eletrónicos integrados no SFC2014 (adiante referidas como «dados estruturados») não podem ser substituídas por dados não estruturados, incluindo a utilização de hiperligações ou outros tipos de dados não estruturados como anexos de documentos ou imagens. Sempre que um Estado-Membro transmita as mesmas informações sob a forma de dados estruturados e de dados não estruturados, devem ser utilizados os dados estruturados no caso de incoerências.

Artigo 3.o

Funcionamento do SFC2014

1.   A Comissão, as autoridades designadas pelos Estados-Membros nos termos do artigo 59.o, n.o 3, do Regulamento (UE, Euratom) n.o 966/2012 do Parlamento Europeu e do Conselho (4) e do artigo 31.o do Regulamento (UE) n.o 223/2014, bem como os organismos nos quais tenham sido delegadas as tarefas dessas autoridades devem introduzir no SFC2014 as informações cuja transmissão seja da sua responsabilidade e as eventuais atualizações posteriores.

2.   Qualquer transmissão de informações à Comissão deve ser verificada e efetuada por uma pessoa que não seja a pessoa que introduziu os dados para essa transmissão. Esta separação de tarefas deve ser apoiada pelo SFC2014 ou pelos sistemas de informação para gestão e controlo do Estado-Membro ligados automaticamente ao SFC2014.

3.   Os Estados-Membros devem designar, a nível nacional, uma ou várias pessoas responsáveis pela gestão dos direitos de acesso ao SFC2014, com as seguintes tarefas:

a)	identificar os utilizadores que solicitam o acesso, assegurando que esses utilizadores são trabalhadores da entidade competente;

b)	informar os utilizadores sobre as suas obrigações, a fim de preservar a segurança do sistema;

c)	verificar a habilitação dos utilizadores para o nível de privilégios solicitado, tendo em conta as suas funções e cargo hierárquico;

d)	solicitar a cessação dos direitos de acesso quando esses direitos deixarem de ser necessários ou justificados;

e)	comunicar de imediato acontecimentos suspeitos que possam prejudicar a segurança do sistema;

f)	garantir a exatidão contínua dos dados de identificação dos utilizadores, comunicando todas as alterações ocorridas;

g)	tomar as devidas precauções em matéria de proteção de dados e de sigilo comercial, em conformidade com as regras nacionais e da União;

h)	informar a Comissão sobre quaisquer alterações que afetem a capacidade das autoridades do Estado-Membro ou dos utilizadores do SFC2014 para efetuar as tarefas referidas no n.o 1 ou a capacidade do seu pessoal para desempenhar as tarefas referidas nas alíneas a) a g).

4.   Os intercâmbios de dados e as transações devem ser acompanhados de uma assinatura eletrónica obrigatória na aceção da Diretiva 1999/93/CE do Parlamento Europeu e do Conselho (5). Os Estados-Membros e a Comissão devem reconhecer a validade jurídica e a admissibilidade da assinatura eletrónica usada no SFC2014 como meio de prova em processos judiciais.

As informações tratadas através do SFC2014 devem respeitar a proteção da privacidade e os dados pessoais das pessoas singulares e a confidencialidade comercial de entidades jurídicas, de acordo com a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (6), a Diretiva 2009/136/CE do Parlamento Europeu e do Conselho (7), a Diretiva 95/46/CE e o Regulamento (CE) n.o 45/2001.

Artigo 4.o

Características do SFC2014

A fim de assegurar a eficácia e a eficiência do intercâmbio eletrónico de informações, o SFC2014 deve apresentar as seguintes características:

a)	formulários interativos ou formulários previamente preenchidos pelo sistema com base nos dados já registados no sistema anteriormente;

b)	cálculos automáticos, quando reduzam o esforço de codificação dos utilizadores;

c)	controlos automáticos incorporados, a fim de verificar a coerência interna dos dados transmitidos e a coerência destes dados com as regras aplicáveis;

d)	alertas gerados pelo sistema advertindo os utilizadores do SFC2014 de que certas ações podem ou não podem ser desempenhadas;

e)	acompanhamento em linha do estado do tratamento das informações registadas no sistema;

f)	disponibilidade de dados históricos no que diz respeito a todas as informações registadas sobre um programa operacional.

Artigo 5.o

Transmissão de dados através do SFC2014

1.   O SFC2014 deve estar acessível aos Estados-Membros e à Comissão, quer diretamente através de uma interface de utilizador interativa (ou seja, uma aplicação web), quer através de uma interface técnica utilizando protocolos predefinidos (ou seja, serviços web) que permita a sincronização automática e a transmissão de dados entre os sistemas de informações dos Estados-Membros e o SFC2014.

2.   A data de transmissão eletrónica das informações pelo Estado-Membro à Comissão, e vice-versa, deve ser considerada a data da apresentação do documento em causa.

3.   Em caso de força maior, disfuncionamento do SFC2014 ou ausência de ligação ao SFC2014 superior a um dia útil na última semana antes do prazo regulamentar para a apresentação de informações ou no período de 23 a 31 de dezembro, ou superior a cinco dias úteis noutras datas, o intercâmbio de informações entre o Estado-Membro e a Comissão pode efetuar-se em papel, utilizando os modelos, os formatos e as minutas a que se refere o artigo 2.o do presente regulamento.

Quando cessar o disfuncionamento do sistema de intercâmbio eletrónico de dados, for restabelecida a ligação a esse sistema ou deixar de existir o motivo de força maior, a parte em causa deve introduzir sem demora as informações já enviadas em papel também no SFC2014.

4.   Nos casos referidos no n.o 3, a data do carimbo do correio é considerada a data da apresentação do documento em causa.

Artigo 6.o

Segurança dos dados transmitidos através do SFC2014

1.   A Comissão deve estabelecer uma política de segurança da tecnologia de informação (a seguir, designada «política de segurança SFC IT») para o SFC2014, aplicável ao pessoal que utilize o SFC2014, em conformidade com as regras vigentes da União, em especial a Decisão da Comissão C(2006) 3602 (8) e as suas regras de execução. A Comissão deve designar uma ou várias pessoas responsáveis por definir, manter e assegurar a correta aplicação da política de segurança ao SFC2014.

2.   Os Estados-Membros e as instituições europeias que não a Comissão que tenham recebido direitos de acesso ao SFC2014 devem respeitar os termos e as condições de segurança TI publicados no portal SFC2014 e as medidas que sejam implementadas no SFC2014 pela Comissão, para assegurar a transmissão de dados, em especial no que respeita à utilização da interface técnica a que se refere o artigo 5.o, n.o 1, do presente regulamento.

3.   Os Estados-Membros e a Comissão devem aplicar e garantir a eficácia das medidas de segurança adotadas para proteger os dados que armazenaram e transmitiram através do SFC2014.

4.   Os Estados-Membros devem adotar políticas de segurança da informação a nível nacional, regional ou local que abranjam o acesso ao SFC2014 e a introdução automática de dados no mesmo, garantindo um conjunto mínimo de requisitos de segurança. Estas políticas de segurança TI nacionais, regionais ou locais podem remeter para outros documentos de segurança. Cada Estado-Membro deve garantir que estas políticas de segurança TI se aplicam a todas as entidades que utilizam o SFC2014.

5.   As políticas de segurança TI nacionais, regionais ou locais incluem:

a)	os aspetos de segurança TI do trabalho realizado pela pessoa ou pelas pessoas responsáveis pela gestão dos direitos de acesso previstos no artigo 3.o, n.o 3, do presente regulamento, em caso de aplicação de utilização direta;

b)	na presença de sistemas informáticos nacionais, regionais ou locais ligados ao SFC2014, através de uma interface técnica a que se refere o artigo 5.o, n.o 1, do presente regulamento, as medidas de segurança para tais sistemas que permitem estar alinhados com os requisitos de segurança do SFC2014.

Para efeitos da alínea b) do primeiro parágrafo, devem estar cobertos os seguintes aspetos, consoante o caso:

a)	a segurança física;

b)	o controlo dos suportes e do acesso de dados;

c)	o controlo da conservação dos dados;

d)	o controlo de palavras-passe e do acesso;

e)	a monitorização;

f)	a interconexão com o SFC2014;

g)	a infraestrutura de comunicações;

h)	a gestão de recursos humanos antes, durante e após a contratação de trabalhadores;

i)	a gestão de incidentes.

6.   Estas políticas de segurança TI nacionais, regionais ou locais devem basear-se numa avaliação do risco e as medidas descritas devem ser proporcionais aos riscos identificados.

7.   Os documentos que definem as políticas de segurança TI nacionais, regionais ou locais devem ser postos à disposição da Comissão a seu pedido.

8.   Os Estados-Membros devem designar, a nível nacional, uma ou várias pessoas responsáveis pela manutenção e garantia da aplicação das políticas de segurança TI nacionais, regionais ou locais. Essa pessoa ou essas pessoas devem atuar como ponto de contacto com a pessoa ou pessoas designadas pela Comissão e referidas no artigo 6.o, n.o 1, do presente regulamento.

9.   Tanto a política de segurança SFC IT como as políticas de segurança TI nacionais, regionais e locais pertinentes devem ser atualizadas em caso de evolução tecnológica, de identificação de novas ameaças ou de outros desenvolvimentos pertinentes. Devem, em qualquer caso, ser reexaminadas numa base anual para assegurar que continuam a fornecer uma resposta adequada.

CAPÍTULO II

DISPOSIÇÃO FINAL

Artigo 7.o

O presente regulamento entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

---

(1)  JO L 72 de 12.3.2014, p. 1.

(2)  Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(3)  Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(4)  Regulamento (UE, Euratom) n.o 966/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo às disposições financeiras aplicáveis ao orçamento geral da União e que revoga o Regulamento (CE, Euratom) n.o 1605/2002 do Conselho (JO L 298 de 26.10.2012, p. 1).

(5)  Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).

(6)  Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(7)  Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, que altera a Diretiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações eletrónicas, a Diretiva 2002/58/CE relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas e o Regulamento (CE) n.o 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor (JO L 337 de 18.12.2009, p.11).

(8)  Decisão da Comissão C(2006) 3602, de 16 de agosto de 2006, relativa à segurança dos sistemas de informação utilizados pela Comissão.

---