This document is an excerpt from the EUR-Lex website
Document 52021DC0290
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the evaluation of Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market (eIDAS)
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO sobre a avaliação do Regulamento (UE) n.º 910/2014 relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (eIDAS)
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO sobre a avaliação do Regulamento (UE) n.º 910/2014 relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (eIDAS)
COM/2021/290 final
COMISSÃO EUROPEIA
Bruxelas, 3.6.2021
COM(2021) 290 final
RELATÓRIO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO
sobre a avaliação do Regulamento (UE) n.º 910/2014 relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (eIDAS)
{SEC(2021) 229 final} - {SWD(2021) 130 final}
1.Introdução
O presente relatório apresenta os resultados da avaliação do Regulamento (UE) n.º 910/2014 relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno («Regulamento eIDAS») 1 . O artigo 49.º do regulamento exige que a Comissão analise a sua aplicação e avalie, nomeadamente, se é adequado modificar o âmbito do regulamento ou as suas disposições especiais, tendo em conta a experiência adquirida na sua aplicação, bem como a evolução da tecnologia, do mercado e da legislação 2 . Prevê ainda que, se necessário, o relatório seja acompanhado de propostas legislativas.
O documento de trabalho dos serviços da Comissão que acompanha o presente relatório inclui elementos factuais e de análise mais pormenorizados que apoiam estas conclusões.
1.1.O quadro eIDAS
Com o Regulamento eIDAS, adotado em 2014, a UE foi pioneira ao introduzir um primeiro quadro transfronteiriço para as identidades digitais fiáveis e os serviços de confiança, agora reconhecido e respeitado à escala mundial. O objetivo do Regulamento eIDAS era permitir a todos os cidadãos da UE o acesso a serviços públicos em toda a UE mediante a utilização de meios de identificação eletrónica (eID) emitidos no respetivo país de origem. O Regulamento eIDAS pretendia reforçar a confiança nas transações eletrónicas no mercado interno, criando uma base comum para a realização de interações eletrónicas em condições seguras e ininterruptas entre os cidadãos, as empresas e as autoridades públicas, aumentando assim a eficácia dos serviços públicos e privados em linha, os negócios e o comércio eletrónicos na UE. O Regulamento eIDAS revogou a Diretiva 1999/93/CE relativa a um quadro legal comunitário para as assinaturas eletrónicas, que, essencialmente, apenas abrangia as assinaturas eletrónicas.
Conforme implícito na base jurídica do regulamento, o artigo 114.º do TFUE, o objetivo era eliminar os obstáculos existentes ao funcionamento do mercado interno, promovendo a aproximação das legislações dos Estados-Membros, nomeadamente o reconhecimento mútuo e a aceitação transfronteiriços de eID, da autenticação, de assinaturas e de serviços de confiança conexos, quando necessários para efeitos de acesso e conclusão de transações ou procedimentos eletrónicos.
Antes de o regulamento entrar em vigor, não existia qualquer quadro transfronteiriço e intersetorial geral na UE que garantisse a segurança, a fiabilidade e a facilidade de realização das transações eletrónicas, abrangendo a identificação e a autenticação eletrónica, bem como serviços de confiança. A proposta da Comissão [COM(2012) 238 final] de 4 de junho de 2012, acompanhada pela avaliação de impacto [SWD(2012) 135 final] identificou os quatro objetivos gerais seguintes:
•assegurar o desenvolvimento de um mercado único digital,
•promover o desenvolvimento de serviços públicos transfronteiriços essenciais,
•estimular e fortalecer a competitividade no mercado único,
•aumentar a facilidade de utilização (para cidadãos e empresas).
Apesar de cumprir muitos dos seus objetivos e de se ter tornado um elemento fundamental para facilitar o mercado único em vários setores (por exemplo, para serviços financeiros e para permitir o acesso e a reutilização dos dados em procedimentos administrativos), o regulamento tem várias limitações: não é obrigatório proceder à notificação de sistemas nacionais de eID; os atributos (elementos de informação pessoal) que podem ser fiavelmente divulgados a terceiros são limitados; e o ato centra-se no setor público, não existindo incentivos claros à utilização das eID nacionais por parte de entidades privadas. Além disso, o ecossistema europeu das identidades eletrónicas está distribuído por diversos quadros regulamentares nacionais, níveis de governação digital e culturas diferentes, com variados graus de confiança nas instituições públicas.
1.2.Contexto
A disponibilização da identidade digital está a atravessar mudanças fundamentais. Entidades como os bancos, os prestadores de serviços de comunicações eletrónicas ou empresas de serviços públicos, algumas das quais legalmente obrigadas a recolher atributos de identidade, estão a tirar partido dos seus procedimentos para atuar enquanto fornecedores de identidade verificada. Os intermediários da Internet, incluindo as grandes plataformas de redes sociais e os navegadores Web 3 , atuam como guardiões de facto do acesso à identidade digital e oferecem soluções BYOI (do inglês «bring your own identity», ou seja, trazer a própria identidade) que permitem aos seus utilizadores a autenticação em sítios Web de terceiros com recurso aos seus perfis de utilizadores. O preço a pagar por esta comodidade é a perda de controlo sobre os dados pessoais divulgados, na medida em que estes meios de eID não estão ligados a uma identidade física verificada, dificultando a adoção de medidas para fazer face à fraude e às ciberameaças. Uma grande maioria dos cidadãos da UE gostaria de ter acesso a uma identidade digital segura que pudesse ser utilizada para aceder a serviços em linha 4 . Por último, embora existam muitos pontos de vista diferentes sobre o futuro da identidade digital, é necessário considerar devidamente o papel fundamental que os governos nacionais desempenham no desenvolvimento de qualquer ecossistema abrangente de identificação eletrónica.
Hoje em dia, os utilizadores esperam que o percurso em linha seja ininterrupto e querem aplicações móveis e soluções de autenticação única que possam ser utilizadas para serviços em linha nos setores público e privado, e que abranjam todos os casos de utilização da identificação, desde o início de sessão com pseudónimo até à plataforma em linha para identificação segura no domínio da saúde em linha ou da banca eletrónica. A identificação segura em linha e o intercâmbio de credenciais de atributos são cada vez mais importantes, dado o crescente número de serviços personalizados e sensíveis em matéria de identidade. A capacidade de identificação eletrónica tornar-se-á um fator relevante de inclusão social e a disponibilização de identidade digital será um ativo estratégico.
No discurso sobre o estado da União, em 16 de setembro de 2020, a presidente da Comissão Europeia anunciou que a Comissão tem a ambição de assegurar uma identidade digital segura e fiável a todos os cidadãos da UE: «Queremos um conjunto de regras que fique ao serviço das pessoas. [...] Isto inclui o controlo que exercemos sobre os nossos dados pessoais e que hoje em dia é ainda demasiado limitado. De cada vez que uma aplicação ou um sítio Web nos pede que criemos uma nova identidade digital ou que nos registemos sem dificuldade através de uma grande plataforma, não fazemos a menor ideia do que efetivamente acontece aos nossos dados. É por esse motivo que a Comissão proporá em breve uma identidade eletrónica europeia segura. Uma identidade de confiança que qualquer cidadão poderá utilizar em qualquer parte da Europa para tratar do que precisa, seja pagar impostos ou alugar uma bicicleta. Uma tecnologia que permite que nós, utilizadores, controlemos que dados utilizamos e de que modo os utilizamos».
O Conselho Europeu apoiou a ambição da Comissão e, nas conclusões do Conselho de 1 e 2 de outubro de 2020, convidou a Comissão a apresentar uma proposta de iniciativa-quadro de identidade digital europeia até meados de 2021:
As conclusões do Conselho Europeu apelam ao «desenvolvimento de um quadro relativo à identificação eletrónica (eID) pública segura em toda a UE, incluindo assinaturas digitais interoperáveis, a fim de dar às pessoas o controlo sobre a sua identidade e os seus dados em linha, bem como de permitir o acesso a serviços digitais públicos, privados e transfronteiras». O Conselho convida a Comissão a apresentar uma proposta de iniciativa-quadro de identidade digital europeia até meados de 2021.
A identificação eletrónica permite que cidadãos e empresas provem quem são ao aceder a serviços em linha. Serviços de confiança, tais como as assinaturas eletrónicas, tornam as transações em linha mais seguras, cómodas e eficientes. O Regulamento eIDAS constitui o único quadro transfronteiriço existente para a eID fiável de pessoas singulares e coletivas, e serviços de confiança. O Regulamento eIDAS permite o reconhecimento transfronteiriço de eID estatais para acesso a serviços públicos, desde que a eID tenha sido notificada ao abrigo do mesmo. Este regulamento também estabelece um mercado da UE para serviços de confiança reconhecidos além-fronteiras com o mesmo estatuto jurídico que os processos tradicionais equivalentes baseados em papel.
2.Principais constatações da avaliação
As principais constatações da avaliação, em função dos critérios de avaliação, podem ser resumidas da seguinte forma.
2.1.Eficácia
As disposições relativas à identidade eletrónica resultaram na criação da rede eIDAS, que visa permitir aos detentores de um sistema de eID notificado o acesso a serviços públicos em linha noutros países. A nível da UE, só foi possível alcançar a interoperabilidade de um número limitado de sistemas de eID 5 .
O Regulamento eIDAS cria, com êxito, segurança jurídica em matéria de responsabilidade, ónus da prova, efeito legal e aspetos internacionais dos serviços de confiança, mas subsistem algumas questões. A disponibilidade e a adoção de serviços de confiança na UE aumentaram desde a introdução do Regulamento eIDAS. Porém, existem diferenças entre os Estados-Membros e entre os diferentes serviços de confiança.
Apesar dos progressos alcançados, o regulamento não atingiu todo o seu potencial em termos de eficácia. Apenas uma quantidade limitada de eID foi notificada, restringindo assim o número de cidadãos da UE com acesso a um sistema de eID notificado (59 % da população). A aceitação de eID notificadas é limitada, pois nem todos os nós eIDAS estão operacionais, o número de serviços públicos que oferecem a notificação eIDAS ou estão ligados à infraestrutura é restrito e erros técnicos impedem a autenticação eficaz por parte dos utilizadores.
No que concerne aos serviços de confiança, o objetivo do regulamento de manter a neutralidade em matéria de tecnologia resultou em interpretações dos requisitos muito distintas por parte dos diferentes Estados-Membros, nomeadamente devido à não adoção de atos de execução adicionais. Não é possível concluir que foram plenamente alcançadas condições de igualdade a nível da UE. Porém, o Regulamento eIDAS criou um forte quadro que pode ser complementado com as normas e os requisitos necessários para reduzir a atual fragmentação do mercado e as divergências de interpretação de entidades supervisoras e organismos de avaliação da conformidade e para reforçar a cooperação entre as entidades supervisoras.
2.2.Eficiência
A avaliação de base indica que os custos quantificáveis, até ao momento, foram muito superiores aos benefícios. No domínio da eID, tal deveu-se à reduzida aceitação nos processos em que os benefícios não se materializaram.
Os principais grupos de partes interessadas para os quais a parte do Regulamento eIDAS relativo à eID gerou custos e benefícios são as autoridades nacionais, os operadores de nós eIDAS, os fornecedores de eID e os prestadores de serviços. No âmbito dos serviços de confiança, os principais grupos de partes interessadas que tiveram custos e benefícios foram as entidades supervisoras e de acreditação, os organismos de avaliação da conformidade e os prestadores qualificados e não qualificados de serviços de confiança.
No que concerne aos interessados individuais, uma parte considerável dos benefícios são benefícios esperados (descontados como benefícios futuros) e, por conseguinte, dificilmente quantificáveis. Os custos recorrentes de governação no domínio dos serviços de confiança são limitados e estão principalmente associados à garantia de conformidade. No caso dos interessados individuais, uma parte considerável dos benefícios é apenas hipotética nesta fase (descontada como benefícios futuros), sendo a sua quantificação difícil. Os prestadores de serviços de confiança registam benefícios sob a forma de receitas resultantes da prestação de serviços de confiança noutros países da UE e do alargamento da base de mercado.
2.3.Pertinência
O ecossistema da eID mudou profundamente desde a introdução do Regulamento eIDAS com a crescente pegada dos fornecedores privados de identidade. Tendo em conta o aumento das transações eletrónicas, todos os cidadãos da UE devem ter acesso a uma identidade digital fiável e interoperável, o que não acontece atualmente. Os objetivos do quadro jurídico eIDAS continuam a ser pertinentes para dar resposta às questões inicialmente identificadas, nomeadamente a necessidade de garantir a redução da fragmentação do mercado, assegurando a interoperabilidade transfronteiriça e intersetorial de serviços de confiança mediante a adoção de normas comuns. O atual âmbito do Regulamento eIDAS e o seu foco em sistemas de eID notificados pelos Estados-Membros e na viabilização do acesso a serviços públicos em linha parecem ser demasiado limitados.
Alguns obstáculos essenciais à aceitação por parte dos utilizadores e dos prestadores de serviços do setor privado têm impedido que o quadro regulamentar alcance todo o seu potencial. Apesar de introduzir referências a soluções eIDAS numa série de atos legislativos setoriais da UE, o Regulamento eIDAS ainda não deu resposta às necessidades de setores específicos (por exemplo, educação, banca, viagens, aviação). Um dos fatores limitantes do quadro atual, no que toca a estas necessidades setoriais, é a falta de atributos específicos por domínios.
A principal resistência prende-se com a capacidade de o Regulamento eIDAS acompanhar os desenvolvimentos tecnológicos mais recentes no domínio dos serviços de confiança. O alargamento da lista de serviços de confiança, nomeadamente mediante a introdução de um serviço de confiança para arquivos digitais, um serviço de confiança que suporte credenciais de identidade portáteis e um serviço de confiança para livros-razão eletrónicos, daria resposta a um variado número de casos de utilização e forneceria aos cidadãos e às empresas a possibilidade de provarem, por meio digital, quem são ou quais os seus atributos ou as suas características, sem precisarem de documentos físicos.
2.4.Coerência
A avaliação mostra que a parte do regulamento sobre a eID se baseia num sistema de reconhecimento mútuo de eID assente na notificação e na avaliação pelos pares que, de um modo geral, é coerente. O quadro de serviços de confiança prevê um sistema de supervisão coerente dos serviços de confiança. Contudo, foram identificadas algumas questões que afetam a coerência interna do regulamento.
No caso das eID, o sistema de notificação e avaliação pelos pares especificado no quadro eIDAS pretendia assegurar um entendimento comum no respeitante ao nível de garantia oferecido por um sistema de eID, mas a avaliação da execução prática demonstra que esse nem sempre é o caso. Embora fomente a flexibilidade e a neutralidade tecnológica, não existe ainda um entendimento comum sobre o que constitui um nível de garantia substancial e elevado. O foco nos serviços públicos contrasta com a possibilidade de o utilizador limitar os dados transmitidos ao mínimo necessário para a autenticação num serviço específico, na medida em que o conjunto mínimo de dados é sempre transmitido para permitir a identificação de uma pessoa. A implementação do atual sistema eIDAS não permite que o utilizador facilite a aplicação dos princípios de minimização dos dados e de privacidade por defeito do RGPD, mediante um controlo dos dados que pretende partilhar e com quem o pretende fazer.
As regras para avaliar se os prestadores de serviços de confiança cumprem os requisitos funcionais do regulamento para obterem o estatuto de prestadores qualificados revelam alguns pontos fracos, pois as obrigações, a responsabilidade ou o nível de competência dos organismos de avaliação da conformidade não são descritos com suficiente pormenor. Algumas disposições deixam ao critério dos Estados-Membros o reconhecimento de determinados métodos de identificação (por exemplo, a verificação de dados biométricos) a nível nacional, fator que prejudica as condições regulamentares de igualdade e cria incerteza.
2.5.Valor acrescentado da UE
O Regulamento eIDAS criou incentivos para que os Estados-Membros aplicassem soluções nacionais de eID, mas o valor acrescentado do quadro de eID revelou-se bastante limitado devido ao seu baixo nível de cobertura, aceitação e utilização. No que respeita aos serviços de confiança, o regulamento estabeleceu um quadro jurídico comum para a sua utilização, reduzindo a fragmentação do mercado e aumentando a sua aceitação. Com o auxílio dos serviços de confiança, as administrações públicas podem modernizar e digitalizar serviços e emitir documentação comprovativa por meio eletrónico, reduzindo assim os encargos administrativos.
No que se refere à parte relativa à eID, as necessidades inicialmente identificadas para a adoção do regulamento continuam a ser pertinentes, pelo que a revogação do regulamento resultaria em fragmentação e teria consequências negativas noutros domínios legislativos que se baseiam no Regulamento eIDAS. Algumas adaptações do quadro regulamentar poderiam aumentar o seu valor acrescentado para a UE (nomeadamente, a facilitação da utilização de eID estatais fiáveis pelo setor privado e a definição de um quadro para o intercâmbio de atributos específicos e de credenciais fornecidas pelos setores público e privado). No caso dos serviços de confiança, continuam a existir alguns obstáculos que resultam de interpretações nacionais e/ou de legislação nacional incompatível e que limitam a aceitação de serviços de confiança.
3.Revisão do quadro eIDAS
O Regulamento eIDAS é um elemento fundamental para facilitar o mercado único em diversos setores [por exemplo, no setor bancário, para o fornecimento dos dados de identificação necessários com vista a facilitar a conformidade com as regras em matéria de luta contra o branqueamento de capitais 6 ; a Diretiva Serviços de Pagamento (PSD2) 7 baseia-se nos serviços de confiança eIDAS, como os selos eletrónicos e os certificados qualificados de autenticação de sítios Web (QWAC), para identificar a autenticidade de sítios Web de terceiros prestadores de serviços de pagamento; as eID baseadas no Regulamento eIDAS são um requisito para o intercâmbio transfronteiriço de certificados administrativos, sendo o regulamento essencial para a aplicação e o funcionamento satisfatórios do princípio da declaração única (OOP) a partir de 2023 8 ]. O quadro de serviços de confiança é reconhecido a nível internacional e constitui a base para um projeto de disposição 9 , que se espera vir a ser uma lei-modelo da ONU sobre serviços de confiança no comércio eletrónico em 2021, e para as negociações em curso sobre o comércio eletrónico no seio da OMC 10 .
Porém, muito mudou desde a adoção do Regulamento eIDAS em 2014. O quadro baseia-se em sistemas nacionais de eID que seguem normas distintas e centra-se num segmento relativamente pequeno das necessidades de identificação eletrónica dos cidadãos e das empresas: o acesso transfronteiriço seguro aos serviços públicos. Os serviços em questão dizem principalmente respeito aos 3 % da população da UE 11 residentes num Estado-Membro diferente daquele em que nasceram.
Desde então, a digitalização de todas as funções da sociedade aumentou drasticamente. Em particular, a pandemia de COVID-19 teve fortes repercussões na velocidade da transformação digital. Em consequência disso, cada vez mais serviços públicos e privados têm sido prestados por via eletrónica. Os cidadãos e as empresas têm a expectativa de alcançar um elevado nível de segurança e comodidade em qualquer atividade realizada em linha, por exemplo, ao entregar declarações de impostos, inscrever-se numa universidade estrangeira, abrir uma conta bancária ou solicitar um empréstimo à distância, alugar um carro, criar uma empresa noutro Estado-Membro, autenticar pagamentos através da Internet ou apresentar propostas no âmbito de um concurso em linha, entre outros.
Consequentemente, verificou-se um aumento radical da procura de meios para identificação e autenticação em linha, bem como para intercâmbio digital de informação relacionada com a identidade, como atributos ou qualificações, de forma segura e com elevado grau de proteção de dados 12 . Esta procura desencadeou uma mudança de paradigma, no sentido de soluções avançadas e cómodas, capazes de integrar diferentes dados e certificados verificáveis do utilizador. Nos dias de hoje, os meios de eID e serviços de confiança estipulados pelo Regulamento eIDAS não permitem satisfazer essa procura, dadas as suas atuais limitações. No que concerne aos meios de identificação ou autenticação desenvolvidos pelo setor privado à margem do quadro eIDAS, respondem apenas parcialmente a este desafio. Embora ofereçam serviços de autenticação fácil de terceiros (por exemplo, através da conta de Facebook ou Google para iniciar sessão em diferentes serviços), são frequentemente utilizados para aceder a serviços privados e não regulamentados em linha que não requerem um elevado nível de segurança. Não podem oferecer o mesmo nível de segurança jurídica, proteção de dados e privacidade, sobretudo porque são autodeclarados e não podem estabelecer uma ligação a uma eID estatal segura e fiável.
Em fevereiro de 2020, a Comissão comprometeu-se, na estratégia delineada na Comunicação «Construir o futuro digital da Europa» 13 , a rever o Regulamento eIDAS com vista a melhorar a sua eficácia, alargar a sua aplicação ao setor privado e promover a utilização de identidades digitais fiáveis por todos os cidadãos e empresas da UE. A urgência desta revisão tornou-se evidente com a pandemia de COVID-19. As perturbações no funcionamento fora de linha dos serviços públicos e privados e a necessidade súbita de acesso e utilização de todos os tipos de serviços públicos e privados em linha revelaram as limitações do Regulamento eIDAS no que diz respeito aos benefícios esperados para cidadãos, empresas e governos, seis anos após a sua adoção. Um Regulamento eIDAS revisto e reforçado poderia fazer face às novas exigências da sociedade e do mercado, respondendo às necessidades de soluções ligadas a eID estatais fiáveis, mas também de atributos e credenciais fornecidos pelo setor público e privado, todos eles plenamente geridos pelo utilizador e reconhecidos em toda a UE para aceder tanto a serviços públicos como a serviços privados. Tal constituiria ainda um apoio para um grande número de quadros regulamentares existentes ou propostos, fortalecendo o mercado único da UE.
4.Conclusões
De um modo geral, o Regulamento eIDAS contribuiu para aprofundar o mercado único. Forneceu as bases para o desenvolvimento de um mercado de serviços de confiança e identidade na UE, em apoio à cada vez maior necessidade de transações eletrónicas seguras. Todavia, numa perspetiva de futuro, que evoluiu no que diz respeito aos objetivos e às expectativas dos utilizadores, o Regulamento eIDAS tem de ser melhorado em termos de eficácia, eficiência, coerência e pertinência para satisfazer os novos objetivos políticos, as expectativas dos utilizadores e a procura do mercado, tendo também em conta os recentes desenvolvimentos no domínio da digitalização.
O mercado está a assistir à emergência de um novo ambiente, em que o foco mudou da disponibilização e utilização de identidades digitais rígidas para a disponibilização e o recurso a atributos específicos relacionados com essas identidades. Existe uma procura crescente de soluções de identificação eletrónica com estas capacidades, que ofereçam, aos serviços do setor público e privado, ganhos de eficiência e um elevado nível de confiança em toda UE, baseando-se na necessidade de identificar e autenticar utilizadores com um elevado nível de garantia.
O atual Regulamento eIDAS não consegue dar resposta a estas novas exigências do mercado devido ao facto de estar intrinsecamente limitado ao setor público, à complexidade de ligação ao sistema para prestadores de serviços privados em linha, à insuficiente disponibilidade de sistemas em todos os Estados-Membros e à sua falta de flexibilidade para apoiar uma série de casos.