30.1.2013   

PT

Jornal Oficial da União Europeia

C 28/6

Síntese do parecer da Autoridade Europeia para a Proteção de Dados sobre a proposta da Comissão para um Regulamento do Parlamento Europeu e do Conselho sobre a confiança nas transações eletrónicas no mercado interno (Regulamento Serviços de Confiança Eletrónicos)

(O texto integral do presente parecer está disponível em EN, FR e DE no sítio Web da AEPD em http://www.edps.europa.eu)

2013/C 28/04

I.   Introdução

I.1.   A Proposta

1.

Em 4 de junho de 2012, a Comissão adotou uma proposta de Regulamento do Parlamento Europeu e do Conselho que altera a Diretiva 1999/93/CE do Parlamento Europeu e do Conselho no que respeita à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (doravante, «a Proposta» ) (1).

2.

A Proposta faz parte das medidas apresentadas pela Comissão para reforçar a utilização das transações eletrónicas na União Europeia. Dá seguimento às ações previstas na Agenda Digital para a Europa (2) relativas à melhoria da legislação sobre assinaturas eletrónicas (Ação-chave 3) e que preveem um quadro coerente para o reconhecimento mútuo da identificação e autenticação eletrónicas (Ação-chave 16).

3.

A Proposta deverá reforçar a confiança nas transações eletrónicas pan-europeias e garantir o reconhecimento legal transfronteiras da identificação, da autenticação e das assinaturas eletrónicas e dos serviços de confiança conexos no mercado interno, assim como um elevado grau de proteção dos dados e de autonomia dos utilizadores.

4.

É essencial assegurar um elevado nível de proteção dos dados para a utilização de sistemas de identificação eletrónica e serviços de confiança. O desenvolvimento e a utilização de tais meios eletrónicos têm de se basear num tratamento adequado de dados pessoais pelos prestadores de serviços de confiança e pelos emitentes de meios de identificação eletrónica. Este aspeto assume ainda maior importância na medida em que esse tratamento servirá de base, por exemplo, para identificar e autenticar pessoas singulares (ou coletivas) da forma mais fiável.

I.2.   Consulta da AEPD

5.

Antes da adoção da Proposta, a AEPD teve a oportunidade de apresentar observações informais. Muitas dessas observações foram tidas em conta na Proposta. Como consequência, foram reforçadas na Proposta as garantias em matéria de proteção de dados.

6.

A AEPD congratula-se com o facto de ter sido também formalmente consultada pela Comissão em conformidade com o artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001.

I.3.   Contexto da Proposta

7.

A Proposta tem por base o artigo 114.o do Tratado sobre o Funcionamento da União Europeia e estabelece as condições e os mecanismos para o reconhecimento e aceitação mútuos da identificação eletrónica e dos serviços de confiança entre os Estados-Membros. Em especial, define os princípios aplicáveis à prestação de serviços de identificação e de serviços de confiança eletrónicos, incluindo as regras em matéria de reconhecimento e aceitação. Estabelece igualmente os requisitos da criação, verificação, validação, tratamento e preservação de assinaturas eletrónicas, selos eletrónicos, carimbos eletrónicos da hora, documentos eletrónicos, serviços de entrega eletrónica, autenticação de sítios Web e certificados eletrónicos.

8.

Além disso, o Regulamento proposto estabelece as regras relativas à supervisão da prestação de serviços de confiança e obriga os Estados-Membros a criarem entidades supervisoras para este efeito. Uma das funções destas entidades será a análise da conformidade das medidas técnicas e organizacionais adotadas pelos prestadores de serviços de confiança eletrónicos.

9.

O capítulo II diz respeito aos serviços de identificação eletrónica, enquanto o capítulo III é dedicado a outros serviços de confiança eletrónicos, tais como as assinaturas, os selos, os carimbos da hora, os documentos, os serviços de entrega e os certificados eletrónicos, bem como a autenticação de sítios Web. Os serviços de identificação eletrónica estão relacionados com cartões de identificação nacionais e podem ser utilizados no acesso a serviços digitais e, em especial, a serviços de administração pública em linha; deste modo, uma entidade que emita uma identificação eletrónica está a atuar em nome de um Estado-Membro e esse Estado-Membro é responsável pelo estabelecimento da correlação correta entre uma determinada pessoa e os respetivos meios de identificação eletrónica. No que respeita a outros serviços de confiança eletrónicos, o prestador/emitente é uma pessoa singular ou coletiva que é responsável pela prestação correta e segura desses serviços.

I.4.   Questões relativas à proteção de dados suscitadas pela Proposta

10.

O tratamento de dados pessoais é inerente à utilização de sistemas de identificação e, em certa medida, à prestação de outros serviços de confiança (por exemplo, no caso das assinaturas eletrónicas). Será necessário proceder ao tratamento de dados pessoais para estabelecer uma ligação fidedigna entre os meios de identificação e autenticação eletrónica utilizados por uma pessoa singular (ou coletiva) e essa pessoa, a fim de confirmar se a pessoa por detrás do certificado eletrónico é realmente quem alega ser. Por exemplo, as identificações eletrónicas e os certificados eletrónicos dizem respeito a pessoas singulares e incluem um conjunto de dados que representam inequivocamente essas pessoas. Por outras palavras, a criação, verificação, validação e tratamento desses meios eletrónicos referidos no artigo 3.o, n.o 12, da Proposta implicarão, em muitos casos, o tratamento de dados pessoais e, consequentemente, a proteção dos dados torna-se relevante.

11.

Assim, é essencial que o tratamento de dados no contexto do fornecimento de sistemas de identificação eletrónica ou da prestação de serviços de confiança eletrónicos seja efetuado em conformidade com a legislação da UE em matéria de proteção de dados e, em especial, com as disposições nacionais que transpõem a Diretiva 95/46/CE.

12.

No presente parecer, a AEPD centrará a sua análise em três questões principais:

a)

O modo como a proteção de dados é abordada na Proposta;

b)

Os aspetos relativos à proteção de dados dos regimes de identificação eletrónica que deverão ser reconhecidos e aceites transfronteiras; e

c)

Os aspetos relativos à proteção de dados dos serviços de confiança eletrónicos que deverão ser reconhecidos e aceites transfronteiras.

III.   Conclusões

50.

A AEPD congratula-se com a Proposta, dado que pode contribuir para o reconhecimento (e aceitação) mútuo dos sistemas de identificação e serviços de confiança eletrónicos a nível europeu. Congratula-se igualmente com o estabelecimento de um conjunto comum de requisitos que os emitentes de meios de identificação eletrónica e os prestadores de serviços de confiança têm de cumprir. Não obstante apoiar, de um modo geral, a Proposta, a AEPD considera oportuno formular as seguintes recomendações gerais:

As disposições sobre proteção de dados previstas na Proposta não se deveriam restringir aos prestadores de serviços de confiança, devendo ser também aplicáveis ao tratamento de dados pessoais no âmbito dos sistemas de identificação eletrónica descritos no capítulo II da Proposta,

O Regulamento proposto deveria estabelecer um conjunto comum de requisitos sobre segurança aplicáveis aos prestadores de serviços de confiança e aos emitentes de meios de identificação eletrónica. Em alternativa, poderia prever a possibilidade de a Comissão definir, sempre que necessário, através de um recurso seletivo a atos delegados ou medidas de execução, os critérios, condições e requisitos de segurança aplicáveis aos sistemas de identificação e aos serviços de confiança eletrónicos,

Os prestadores de serviços de confiança eletrónicos e os emitentes de meios de identificação eletrónica deveriam ser obrigados a fornecer aos utilizadores dos seus serviços: i) informações adequadas sobre a recolha, comunicação e conservação dos seus dados, bem como ii) um meio de controlar os seus dados pessoais e de exercer os seus direitos em matéria de proteção de dados,

A AEPD recomenda uma inclusão mais seletiva na Proposta das disposições que autorizam a Comissão a especificar ou concretizar disposições após a adoção do Regulamento proposto através de atos delegados ou de execução.

51.

Algumas disposições específicas sobre o reconhecimento mútuo de sistemas de identificação eletrónica também deveriam ser aperfeiçoadas:

O Regulamento proposto deveria especificar que dados ou categorias de dados serão tratados para fins de identificação transfronteiras de pessoas. O nível de pormenorização desta especificação deveria ser, pelo menos, equivalente ao exigido nos anexos para outros serviços de confiança e deveria tomar em consideração o princípio da proporcionalidade,

As garantias exigidas para o fornecimento de sistemas de identificação deveriam cumprir, pelo menos, os requisitos estabelecidos para os prestadores de serviços de confiança qualificados,

A Proposta deveria estabelecer mecanismos adequados para definir um quadro para a interoperabilidade dos sistemas de identificação nacionais.

52.

Por último, a AEPD formula ainda as seguintes recomendações em relação aos requisitos aplicáveis à prestação e ao reconhecimento de serviços de confiança eletrónicos:

Deveria ser especificado, em relação a todos os serviços eletrónicos, se serão tratados dados pessoais e, nos casos em que tal aconteça, que dados ou categorias de dados serão tratados,

O Regulamento deveria prever garantias adequadas para evitar qualquer sobreposição entre as competências das entidades supervisoras dos serviços de confiança eletrónicos e as das autoridades de proteção de dados,

As obrigações impostas sobre os prestadores de serviços de confiança eletrónicos em relação a violações de dados e incidentes de segurança deveriam ser consistentes com os requisitos estabelecidos na Diretiva Privacidade Eletrónica revista e no Regulamento sobre proteção de dados proposto,

Deveria ser clarificada a definição de entidade privada ou pública que pode atuar na qualidade de terceiro autorizado a realizar auditorias ao abrigo dos artigos 16.o e 17.o ou que podem certificar dispositivos de criação de assinaturas eletrónicas ao abrigo do artigo 23.o, bem como os critérios de avaliação da independência destas entidades,

O Regulamento deveria estabelecer, com maior precisão, o prazo de conservação dos dados referidos nos artigos 19.o, n.o 2 e n.o 4 (3).

Feito em Bruxelas, em 27 de setembro de 2012.

Giovanni BUTTARELLI

Autoridade Adjunta Europeia para a Proteção de Dados

(1)  COM(2012) 238 final.

(2)  COM(2010) 245 de 19.5.2010.

(3)  Nos termos do artigo 19.o, n.o 2, alínea g), os prestadores de serviços de confiança qualificados devem registar, durante um período de tempo adequado, todas as informações pertinentes relativas aos dados emitidos e recebidos por eles. Nos termos do artigo 19.o, n.o 4, os prestadores de serviços de confiança qualificados devem fornecer a qualquer parte utilizadora dos certificados informações sobre o estatuto de válido ou de revogado dos certificados qualificados por eles emitidos.