This document is an excerpt from the EUR-Lex website
Document 32025R0846
Commission Implementing Regulation (EU) 2025/846 of 6 May 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards cross-border identity matching of natural persons
Regulamento de Execução (UE) 2025/846 da Comissão, de 6 de maio de 2025, que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante à determinação da correspondência de identidade das pessoas singulares a nível transfronteiriço
Regulamento de Execução (UE) 2025/846 da Comissão, de 6 de maio de 2025, que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante à determinação da correspondência de identidade das pessoas singulares a nível transfronteiriço
C/2025/2618
JO L, 2025/846, 7.5.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/846/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Jornal Oficial |
PT Série L |
|
2025/846 |
7.5.2025 |
REGULAMENTO DE EXECUÇÃO (UE) 2025/846 DA COMISSÃO
de 6 de maio de 2025
que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante à determinação da correspondência de identidade das pessoas singulares a nível transfronteiriço
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (1), nomeadamente o artigo 11.o-A, n.o 3,
Considerando o seguinte:
|
(1) |
O Regulamento (UE) n.o 910/2014 exige que as carteiras europeias de identidade digital («carteiras») e os meios de identificação eletrónica notificados estejam disponíveis como opção de autenticação para a obtenção de acesso a serviços públicos transfronteiriços em linha prestados pelos Estados-Membros. Nesses casos de autenticação transfronteiriça, por vezes, os registos que contêm informações relativas ao utente da carteira ou ao utente de meios de identificação eletrónica notificados já estão à disposição do utilizador através do seu próprio registo ou de um registo externo, amiúde sob a forma de uma conta de utente. Nestes casos, a correspondência de certas informações relativas ao utente, obtidas a partir das carteiras ou dos meios de identificação eletrónica notificados, pode ser determinada por esse utilizador ou em seu nome. Por exemplo, tal poderá ser efetuado recorrendo a uma solução centralizada gerida por um organismo público, para com ela confrontar informações já detidas por esse utilizador ou por um registo utilizado pelo utilizador, a título indicativo, um registo da população ou uma base de dados com informações sobre a conta de utente. |
|
(2) |
A Comissão avalia periodicamente as novas tecnologias, práticas, normas e especificações técnicas. A fim de assegurar o mais elevado nível de harmonização entre os Estados-Membros para o desenvolvimento e a certificação das carteiras, as especificações técnicas estabelecidas no presente regulamento baseiam-se nos trabalhos realizados nos termos da Recomendação (UE) 2021/946 (2) e, em especial, na arquitetura e no regime de referência que dela fazem parte. Em conformidade com o considerando 75 do Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho (3), a Comissão deve rever e, se necessário, atualizar o presente regulamento, para assegurar que o mesmo acompanha a evolução mundial e a arquitetura e o regime de referência, bem como para seguir as boas práticas no mercado interno. |
|
(3) |
A fim de assegurar que o processo de correspondência de identidade funciona de forma fiável em todos os Estados-Membros, os Estados-Membros que atuem como utilizadores devem determinar a correspondência de identidade inicial quando uma pessoa singular solicita pela primeira vez que lhe seja concedido acesso a um serviço gerido pelo utilizador, com base no conjunto mínimo de dados previsto no Regulamento de Execução (UE) 2015/1501 da Comissão (4) ou no conjunto de dados de identificação pessoal previsto no Regulamento de Execução (UE) 2024/2977 da Comissão (5). Embora o presente regulamento se centre nos Estados-Membros que atuam como utilizadores, o Regulamento (UE) n.o 910/2014 deixa ao critério dos Estados-Membros a decisão de colocar ou não o sistema de correspondência de identidade também disposição de utilizadores privados. Sempre que os Estados-Membros previrem a correspondência de identidade para utilizadores que não sejam organismos públicos, devem aplicar, tanto quanto possível, os mecanismos e procedimentos estabelecidos no presente regulamento. |
|
(4) |
Para efeitos de correspondência de identidade a nível transfronteiriço aquando da utilização de carteiras, as informações utilizadas para a determinação da correspondência inequívoca de identidade devem ser os identificadores de dados obrigatórios do conjunto de dados de identificação pessoal estabelecido no ponto 1 do anexo do Regulamento de Execução (UE) 2024/2977, juntamente com quaisquer dados facultativos necessários para assegurar que o conjunto de dados de identificação pessoal é único. |
|
(5) |
Para efeitos de correspondência de identidade a nível transfronteiriço aquando da utilização de meios de identificação eletrónica notificados, as informações utilizadas para a determinação da correspondência inequívoca de identidade devem ser os atributos obrigatórios do conjunto mínimo de dados para uma pessoa singular, tal como estabelecido no ponto 1 do anexo do Regulamento de Execução (UE) 2015/1501. A referência aos atributos obrigatórios do conjunto mínimo de dados para uma pessoa singular deve ser entendida no contexto do Regulamento de Execução (UE) 2015/1501, que descreve um atributo como um componente do conjunto mínimo de dados de identificação pessoal, por oposição à definição de atributos estabelecida no artigo 3.o, ponto 43), do Regulamento (UE) n.o 910/2014, com a redação que lhe foi dada pelo Regulamento (UE) 2024/1183. |
|
(6) |
Uma vez que o utilizador depende de informações preexistentes para assegurar a determinação da correspondência inequívoca de identidade, o processo de correspondência de identidade pode não ser bem-sucedido em todos os casos. A fim de proporcionar um grau adequado de flexibilidade aos utilizadores, os Estados-Membros podem instituir processos complementares que permitam alcançar um nível equivalente de confiança no resultado do processo de correspondência de identidade. |
|
(7) |
Se o processo de correspondência de identidade for considerado bem-sucedido de acordo com as disposições do presente regulamento, o utilizador, ou a parte que atua em seu nome, ou um registo utilizado pelos utilizadores ou o sistema centralizado deve assegurar que o utente é informado sobre a conclusão do registo, incluindo mediante a exibição do nome ou pseudónimo do utente e, nomeadamente, se for caso disso, sobre as opções disponíveis para armazenar o resultado do processo de correspondência de identidade. Essas opções podem incluir o armazenamento de uma associação num registo gerido pelo utilizador e/ou num registo utilizado pelo utilizador, e/ou a emissão de um certificado eletrónico de atributos específico que contenha uma associação e que possa ser reutilizado no futuro e/ou a utilização de opções alternativas oferecidas pelo utilizador ou pela parte que atua em seu nome. Se for caso disso, o utente deve ter a possibilidade de escolha entre diferentes opções e controlar o período de conservação, a fim de assegurar que os utentes possam reutilizar os processos de correspondência de identidade concluídos no futuro. |
|
(8) |
Para reforçar a transparência e o controlo pelo utente, sempre que não tenha sido possível estabelecer, com êxito, a correspondência bem-sucedida do utente, devem ser-lhe claramente indicadas as razões pelas quais a correspondência foi infrutífera. Além disso, o utente deve ser informado de eventuais etapas seguintes. Tal deve incluir as informações utilizadas no processo de correspondência de identidade e quaisquer discrepâncias detetadas, fornecendo aos utentes explicações e instruções claras sobre possíveis soluções e processos complementares. |
|
(9) |
Para disponibilizar mecanismos de recurso adequados sempre que se procure determinar a correspondência de identidade, os utilizadores, as partes que atuam em seu nome ou os registos utilizados pelos utilizadores devem conservar registos adequados relativos ao processo de correspondência de identidade, às informações utilizadas para a correspondência e a qualquer outra documentação de apoio fornecida pela pessoa singular, bem como o resultado do processo de correspondência de identidade. Estes registos devem ser conservados durante um período mínimo de seis meses e máximo de 12 meses, a fim de permitir o registo e o tratamento de queixas dos utentes. O período de conservação pode ser prorrogado se exigido pelo direito da União ou pelo direito nacional. |
|
(10) |
A fim de evitar que os utentes das carteiras tenham de executar repetidamente o processo de correspondência de identidade, os Estados-Membros podem exigir que os sistemas de correspondência de identidade sejam capazes de emitir um certificado eletrónico de atributos com uma ligação entre o utente da carteira e um registo em que esse utente esteja registado como utente conhecido. Em alternativa, os Estados-Membros podem armazenar uma associação como referência a um registo acessível ao utilizador ou adotar outras medidas de assistência. |
|
(11) |
A fim de assegurar que as carteiras a fornecer em conformidade com os requisitos do artigo 5.o-A, n.o 1, do Regulamento (UE) n.o 910/2014 e os sistemas de identificação eletrónica notificados beneficiam das vantagens de dispor de sistemas de correspondência de identidade operacionais, é necessário fixar um prazo mais longo para a aplicação das disposições correspondentes do presente regulamento. No que diz respeito às carteiras, cada Estado-Membro deve fornecer, pelo menos, uma carteira no prazo de 24 meses a contar da data de entrada em vigor dos atos de execução a que se referem o artigo 5.o-A, n.o 23, e o artigo 5.o-C, n.o 6, do Regulamento (UE) n.o 910/2014. Por conseguinte, a aplicação das disposições pertinentes do presente regulamento relativas à determinação da correspondência de identidade com base em carteiras deve coincidir com o prazo acima referido. No que diz respeito aos sistemas de identificação eletrónica notificados, deve ser concedido tempo suficiente para a substituição das funcionalidades de correspondência de identidade. |
|
(12) |
Uma vez que a utilização da carteira deve ser voluntária, os Estados-Membros devem prever métodos alternativos que permitam aos utentes aceder aos serviços que fornecem quando atuam como utilizadores. |
|
(13) |
Ao tentar autenticar-se junto de um serviço eletrónico, um novo registo de utente pode ser contínuo e, por conseguinte, apresentar-se a um utente, visual e tecnicamente, como uma visita de retorno a um serviço eletrónico. Por esse motivo, um novo registo de utente num serviço eletrónico deverá, para efeitos do presente regulamento, ser considerado equivalente a um processo de correspondência de identidade bem-sucedido. |
|
(14) |
Os Estados-Membros devem assegurar que o processo de correspondência de identidade funciona sem descontinuidades e que o utente não se vê confrontado com múltiplas alterações de sessão e etapas repetitivas, mesmo se o processo de correspondência de identidade não for inicialmente bem-sucedido e forem executados processos complementares. |
|
(15) |
Os Estados-Membros têm liberdade para conceber as suas interfaces de utente e notificações de uma forma adaptada ao contexto nacional, tendo em conta o espírito dos requisitos constantes do presente regulamento. |
|
(16) |
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (6) e, se for caso disso, a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (7) aplicam-se às atividades de tratamento de dados pessoais ao abrigo do presente regulamento. |
|
(17) |
A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (8) e emitiu o seu parecer em 31 de janeiro de 2025. |
|
(18) |
As medidas previstas no presente regulamento estão em conformidade com o parecer do comité instituído pelo artigo 48.o do Regulamento (UE) n.o 910/2014, |
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
Objeto
O presente regulamento estabelece as regras para a determinação da correspondência de identidade das pessoas singulares a nível transfronteiriço por organismos públicos ou por organismos que atuem em nome de um organismo público, a atualizar periodicamente, a fim de acompanhar a evolução da tecnologia e das normas, bem como os trabalhos realizados com base na Recomendação (UE) 2021/946 da Comissão, em especial a arquitetura e o regime de referência.
Artigo 2.o
Requisitos gerais
1. Sempre que um organismo público atue como utilizador no contexto da oferta de um serviço transfronteiriço em linha por esse organismo público ou em seu nome, os Estados-Membros devem assegurar que é utilizado o processo previsto no n.o 2 para assegurar a determinação da correspondência inequívoca de identidade das pessoas singulares.
2. A correspondência inequívoca de identidade é determinada pelo utilizador ou em seu nome, por um registo utilizado pelos utilizadores ou por um sistema centralizado, solicitando, se aplicável, recebendo e validando a autenticidade das informações enumeradas no n.o 3 ou no n.o 4.
3. Quando se recorre a uma carteira, as informações a utilizar para a determinação da correspondência inequívoca de identidade são os dados obrigatórios de identificação pessoal estabelecidos no ponto 1 do anexo do Regulamento de Execução (UE) 2024/2977, juntamente com quaisquer dados facultativos necessários para assegurar que o conjunto de dados apresentado é único, incluindo, se for caso disso, informações adicionais ou procedimentos complementares.
4. Quando se recorre a um sistema de identificação eletrónica notificado, as informações a utilizar para a determinação da correspondência inequívoca de identidade devem ser os atributos obrigatórios do conjunto mínimo de dados para uma pessoa singular, tal como estabelecido no ponto 1 do anexo do Regulamento de Execução (UE) 2015/1501, incluindo, se for caso disso, informações adicionais ou procedimentos complementares.
5. Ao determinar se existe uma correspondência inequívoca de identidade, o utilizador, ou a parte que atua em seu nome, deve confrontar as informações fornecidas pelo utente com as informações que o utilizador, uma parte que atue em seu nome ou um registo utilizado por utilizadores já tenha registado.
6. Na medida do possível, o resultado do processo descrito no n.o 5 não deve ser afetado pelas diferenças em termos de transliteração, espaços em branco, hifenação, concatenação e variações ortográficas semelhantes exigidas pelo direito da União ou pelo direito nacional do Estado-Membro.
7. Se a correspondência das informações referidas no n.o 2 for exata e disser respeito a apenas uma pessoa singular ou se o resultado do processo conduzir a um novo registo do utente que, na sua função, seja equivalente a um processo de correspondência de identidade bem-sucedido, considera-se que o processo de correspondência de identidade foi bem-sucedido, resultando numa correspondência inequívoca de identidade. Se a correspondência não for exata ou disser respeito a mais do que uma pessoa singular, ou se a parte que determina a correspondência de identidade não puder garantir que a correspondência é inequívoca, considera-se que o processo de correspondência de identidade não foi bem-sucedido.
8. Os Estados-Membros podem recorrer a sistemas centralizados de correspondência de identidade, geridos por um organismo público estabelecido nesse Estado-Membro, para assegurar que os meios de identificação eletrónica notificados ou carteiras de outro Estado-Membro possam ser confrontados com registos existentes através de procedimentos em linha.
9. Sempre que os Estados-Membros permitam que utilizadores de carteiras que não sejam organismos públicos determinem a correspondência de identidade, aplicam-se, se for caso disso, os mecanismos e procedimentos estabelecidos no presente regulamento.
Artigo 3.o
Obrigações dos utilizadores caso o processo de correspondência de identidade seja bem-sucedido
1. A primeira vez que um utente executa o processo de correspondência de identidade e este é considerado bem-sucedido nos termos do artigo 2.o, n.o 7, o utilizador, ou a parte que atua em seu nome, ou um registo utilizado pelo utilizador ou o sistema centralizado deve assegurar que o utente é informado de que lhe foi concedido o acesso ao serviço solicitado.
2. Se for caso disso, o utente deve também ser informado:
|
a) |
De que foi registado como novo utente; |
|
b) |
De que foi possível estabelecer, com êxito, a correspondência entre si e um único utente existente do utilizador; |
|
c) |
De que foi possível estabelecer, com êxito, a correspondência entre si e um único utente existente num registo utilizado pelo utilizador ou pela parte que atua em seu nome; |
|
d) |
De que pode reutilizar os processos de correspondência de identidade concluídos no futuro, escolhendo uma das seguintes opções, incluindo o período de conservação:
|
Artigo 4.o
Obrigações dos utilizadores caso o processo de correspondência de identidade não seja bem-sucedido
1. Se um processo de correspondência de identidade não for considerado bem-sucedido nos termos do artigo 2.o, n.o 7, o utilizador, a parte que atua em seu nome ou o sistema centralizado deve assegurar que o utente de um meio de identificação eletrónica notificado ou de uma carteira é informado:
|
a) |
De que não foi possível estabelecer, com êxito e de forma inequívoca, a correspondência entre os dados disponibilizados e um utente existente do utilizador ou um utente existente num registo utilizado pelo utilizador ou pela parte que atua em seu nome; |
|
b) |
De outras opções de correspondência de identidade à disposição do utente ou de outros métodos de acesso ao serviço disponíveis. |
2. As opções ou outros métodos a que se refere o n.o 1, alínea b), podem incluir:
|
a) |
Um meio de identificação eletrónica notificado diferente ou uma carteira diferente; |
|
b) |
Uma atualização das informações já registadas junto do utilizador, da parte que atua em seu nome ou de um registo utilizado pelo utilizador ou pelo sistema centralizado de correspondência de identidade; |
|
c) |
Informações adicionais fornecidas pelo utilizador ou por uma parte que atue em seu nome para a correspondência de identidade ou pelo sistema centralizado. |
3. Se os métodos complementares resultarem numa correspondência ou registo bem-sucedido e inequívoco, o resultado deve respeitar as obrigações previstas no artigo 3.o.
4. Se o utilizador ou o sistema centralizado determinar, inicialmente ou após ter executado sem êxito os processos complementares de correspondência de identidade, que o utente não foi previamente registado, pode considerá-lo como um novo utente e, se for caso disso, registá-lo em conformidade com o direito nacional ou as práticas administrativas nacionais.
5. Se os métodos complementares não resultarem numa correspondência bem-sucedida e inequívoca, a parte que procura determinar a correspondência de identidade pode avaliar se o utente não tem uma interação ou interações prévias com o utilizador ou um registo utilizado pelo utilizador e, por conseguinte, deve ser considerado um novo utente.
6. Se existir um novo utente, os utilizadores devem aplicar o processo previsto no artigo 3.o. Os utilizadores podem registar novos utentes em conformidade com o direito nacional ou as práticas administrativas nacionais.
Artigo 5.o
Obrigações dos utilizadores após a conclusão do processo de correspondência de identidade
1. Após a conclusão de um processo de correspondência de identidade, tal como previsto no artigo 2.o, com ou sem êxito, o utilizador, a parte que atua em seu nome ou o registo utilizado pelo utilizador deve conservar os registos relativos ao processo de correspondência de identidade e ao seu resultado, incluindo, se disponíveis:
|
a) |
Os valores fornecidos pelo utente e o utilizador que são utilizados para executar o processo de correspondência de identidade; |
|
b) |
A data e a hora do processo de correspondência de identidade; |
|
c) |
Toda a documentação pertinente fornecida no âmbito dos métodos complementares referidos no artigo 4.o, n.os 1 e 2, necessária para o tratamento de litígios; |
|
d) |
Se for caso disso, quaisquer identificadores ou números de conta utilizados pelo utilizador, ou um registo utilizado pelos utilizadores, pela parte que atua em seu nome ou pelo sistema centralizado de correspondência de identidade em relação com a pessoa singular. |
2. Os utilizadores ou as partes que atuam em seu nome devem ter em conta os princípios de segurança e privacidade desde a conceção no que respeita ao registo das informações referidas no n.o 1.
3. Os utilizadores ou as partes que atuam em seu nome devem conservar os registos durante um período mínimo de seis meses e máximo de 12 meses para fins de segurança. Para outros fins, nomeadamente para permitir o registo e o tratamento das queixas dos utentes, o período de conservação pode ser prorrogado se exigido pelo direito da União ou pelo direito nacional.
Artigo 6.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é aplicável a partir de 24 de dezembro de 2026.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 6 de maio de 2025.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Recomendação (UE) 2021/946 da Comissão, de 3 de junho de 2021, relativa a um conjunto de instrumentos comuns a nível da União para uma abordagem coordenada do quadro europeu para a identidade digital (JO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
(3) Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho, de 11 de abril de 2024, que altera o Regulamento (UE) n.o 910/2014 no respeitante à criação do Regime Europeu para a Identidade Digital (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Regulamento de Execução (UE) 2015/1501 da Comissão, de 8 de setembro de 2015, que estabelece o quadro de interoperabilidade, nos termos do artigo 12.o, n.o 8, do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (JO L 235 de 9.9.2015, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).
(5) Regulamento de Execução (UE) 2024/2977 da Comissão, de 28 de novembro de 2024, que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante aos dados de identificação pessoal e aos certificados eletrónicos de atributos emitidos para carteiras europeias de identidade digital (JO L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
(6) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_impl/2025/846/oj
ISSN 1977-0774 (electronic edition)