COMISSÃO EUROPEIA

Bruxelas, 3.6.2021

COM(2021) 281 final

2021/0136(COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

que altera o Regulamento (UE) n.º 910/2014 no respeitante à criação de um Quadro Europeu para a Identidade Digital

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}

EXPOSIÇÃO DE MOTIVOS

1.CONTEXTO DA PROPOSTA

•Razões e objetivos da proposta

A presente exposição de motivos acompanha a proposta de Regulamento do Parlamento Europeu e do Conselho que altera o Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (Regulamento eIDAS) 1 . Para efeitos de utilização transfronteiriça, o instrumento jurídico visa assegurar o seguinte:

–um acesso a soluções de identidade eletrónica com um elevado nível de segurança e fiabilidade,

–que os serviços públicos e privados possam recorrer a soluções de identidade digital de confiança e seguras,

–que as pessoas singulares e coletivas estejam capacitadas para utilizar soluções de identidade digital,

–que essas soluções estejam associadas a uma série de atributos e permitam a partilha seletiva de dados de identidade limitada às necessidades do serviço específico solicitado,

–a aceitação de serviços de confiança qualificados na UE e a igualdade de condições para a sua prestação.

•Coerência com as disposições existentes da mesma política setorial

•Coerência com outras políticas da União

2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE

•Base jurídica

A iniciativa tem por objetivo apoiar a transformação da União no sentido da criação de um mercado único digital. Com a digitalização crescente de serviços públicos e privados transfronteiriços baseados na utilização de soluções de identidade digital, existe o risco de, no âmbito do atual quadro legal, os cidadãos continuarem a deparar-se com obstáculos e a não serem capazes de utilizar plenamente os serviços em linha, sem descontinuidades, em toda a UE, nem de preservar a sua privacidade. Existe igualmente o risco de as lacunas do atual quadro legal dos serviços de confiança aumentarem a fragmentação e reduzirem a confiança se a sua gestão for deixada única e exclusivamente a cargo dos Estados-Membros. Por conseguinte, o artigo 114.º do TFUE é identificado como a base jurídica da presente iniciativa.

•Subsidiariedade (no caso de competência não exclusiva)

Os cidadãos e as empresas devem poder beneficiar da disponibilidade de soluções de identidade digital altamente seguras e fiáveis utilizáveis em toda a UE e da portabilidade dos certificados eletrónicos de atributos associados à identidade. Os desenvolvimentos tecnológicos recentes, bem como a procura do mercado e dos utilizadores, exigem a disponibilização de soluções transfronteiriças de mais fácil utilização que permitam o acesso a serviços em linha à escala da UE, que o Regulamento eIDAS na sua versão atual não pode oferecer.

Os utilizadores habituaram-se também cada vez mais a soluções disponíveis à escala mundial, por exemplo quando aceitam a utilização de soluções de autenticação única prestadas pelas grandes plataformas de redes sociais para aceder a serviços em linha. Os Estados-Membros não podem isoladamente resolver os desafios que esta situação cria em termos de poder de mercado dos prestadores de grande dimensão, o que requer interoperabilidade e eID de confiança a nível da UE. Além disso, os certificados eletrónicos de atributos emitidos e aceites num Estado-Membro, como os certificados de saúde eletrónicos, muitas vezes não são reconhecidos e aceites legalmente noutros Estados-Membros. Tal cria o risco de os Estados-Membros continuarem a desenvolver soluções nacionais fragmentadas que não podem ser utilizadas além-fronteiras.

Relativamente à prestação de serviços de confiança, embora estejam, em grande medida, regulamentados e a funcionar de acordo com o atual quadro legal, as práticas nacionais criam igualmente um risco de aumento da fragmentação.

A intervenção a nível da UE é, em última análise, mais adequada para proporcionar aos cidadãos e às empresas os meios necessários de identificação transfronteiriça e de troca de atributos e credenciais de identidade pessoal, com recurso a soluções de identidade digital altamente seguras e fiáveis, em conformidade com as regras da UE em matéria de proteção de dados. Para tal, é essencial dispor de eID de confiança e seguras e de um quadro regulamentar que as associe a atributos e credenciais a nível da UE. Só uma intervenção a nível da UE pode estabelecer condições harmonizadas que assegurem o controlo dos utilizadores e o seu acesso a serviços digitais transfronteiriços, bem como um quadro de interoperabilidade que permita aos serviços em linha confiar facilmente na utilização de soluções de identidade digital seguras, independentemente do local na UE onde tenham sido produzidas ou onde o cidadão resida. Tal como amplamente demonstrado na revisão do Regulamento eIDAS, seria pouco provável que uma intervenção nacional tivesse a mesma eficiência e a mesma eficácia. 

•Proporcionalidade

A presente iniciativa é proporcional aos objetivos pretendidos, proporcionando um instrumento adequado para estabelecer a estrutura de interoperabilidade necessária para a criação de um ecossistema de identidade digital da UE assente nas identidades jurídicas emitidas pelos Estados-Membros e no fornecimento de atributos de identidade digital qualificados e não qualificados. Dá um contributo claro para o objetivo de melhorar o mercado único digital através de um quadro legal mais harmonizado. As carteiras europeias de identidade digital harmonizadas a emitir pelos Estados-Membros com base em normas técnicas comuns também proporcionam uma abordagem comum da UE que beneficia os utilizadores e as partes que dependem da disponibilidade de soluções seguras de identidade eletrónica transfronteiriça. A presente iniciativa aborda as limitações da atual infraestrutura de interoperabilidade de identificação eletrónica com base no reconhecimento mútuo de diversos sistemas nacionais de identificação eletrónica. Tendo em conta os objetivos estipulados, considera-se que a presente iniciativa é suficientemente proporcionada e que os custos são suscetíveis de serem proporcionais aos potenciais benefícios. O regulamento proposto originará custos financeiros e administrativos, que serão suportados pelos Estados-Membros enquanto emitentes das carteiras europeias de identidade digital e pelos prestadores de serviços de confiança e de serviços em linha. Contudo, estes custos serão provavelmente compensados pelos potenciais benefícios significativos para os cidadãos e utilizadores diretamente decorrentes de um maior reconhecimento e de uma maior aceitação a nível transfronteiriço dos serviços de identidade e atributos eletrónicos.

Os custos decorrentes da criação de novas normas e da harmonização com as mesmas suportados pelos prestadores de serviços de confiança e prestadores de serviços em linha não podem ser evitados, se em causa a consecução do objetivo da usabilidade e acessibilidade. A iniciativa pretende aproveitar e apoiar-se no investimento já realizado pelos Estados-Membros nos seus sistemas de identificação nacionais. Além disso, os custos adicionais gerados pela proposta estão concebidos para apoiar a harmonização e são justificados com base na expectativa de que, a longo prazo, reduzirão os encargos administrativos e os custos de conformidade. Os custos associados à aceitação de atributos de autenticação da identidade digital nos setores regulamentados podem também ser encarados como necessários e proporcionais, na medida em que apoiem o objetivo global e proporcionem os meios necessários para que os setores regulamentados possam cumprir as obrigações legais relativas à identificação do utilizador.

•Escolha do instrumento

3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO

•Avaliações ex post/balanços de qualidade da legislação existente

•Consultas das partes interessadas

•Recolha e utilização de conhecimentos especializados

•Avaliação de impacto

•Adequação da regulamentação e simplificação

•Direitos fundamentais

Uma vez que os dados pessoais se inserem no âmbito de aplicação de alguns elementos do regulamento, as medidas foram concebidas para cumprir plenamente a legislação em matéria de proteção de dados. Por exemplo, a proposta melhora as opções para a partilha de dados e para permitir a divulgação discricionária. Ao utilizar a carteira europeia de identidade digital, o utilizador poderá controlar a quantidade de dados fornecidos a partes utilizadoras e ser informado sobre os atributos exigidos para a prestação de um serviço específico. Os prestadores de serviços devem informar os Estados-Membros sobre a sua intenção de utilizar uma carteira europeia de identidade digital, o que permitirá aos Estados-Membros controlar que os referidos prestadores só solicitam conjuntos de dados sensíveis, por exemplo, relacionados com a saúde, de acordo com a legislação nacional.

4.INCIDÊNCIA ORÇAMENTAL

A fim de alcançar os objetivos da presente iniciativa de modo eficiente, é necessário financiar um conjunto de ações quer a nível da Comissão, que prevê a afetação de 60 ETC no período 2022-2027, quer a nível dos Estados-Membros, mediante a sua participação ativa nos grupos de peritos e comités associados ao trabalho da iniciativa e compostos por representantes dos Estados-Membros. O total de recursos financeiros necessários para a execução da proposta no período 2022-2027 será de até 30 825 milhões de EUR, incluindo 8 825 milhões de EUR de custos administrativos e até 22 milhões de EUR de despesas operacionais cobertos pelo Programa Europa Digital (na pendência de acordo). O financiamento apoiará custos associados à manutenção, ao desenvolvimento, ao alojamento, ao funcionamento e ao apoio aos elementos constitutivos dos serviços de eID e de confiança. Pode igualmente apoiar subvenções para ligar serviços ao ecossistema da carteira europeia de identidade digital, bem como a elaboração de normas e especificações técnicas. Por último, o financiamento também apoiará a realização de inquéritos e estudos anuais sobre a eficácia e eficiência do regulamento na consecução dos seus objetivos. A «ficha financeira» anexa à presente iniciativa fornece uma panorâmica pormenorizada dos custos envolvidos.

5.OUTROS ELEMENTOS

•Planos de execução e acompanhamento, avaliação e prestação de informações

•Explicação pormenorizada das disposições específicas da proposta

O artigo 6.º-A do projeto de regulamento exige que os Estados-Membros emitam uma carteira europeia de identidade digital, com base num sistema de eID notificado e em consonância com normas técnicas comuns, na sequência de uma avaliação da conformidade obrigatória e da certificação voluntária no âmbito do enquadramento europeu para a certificação da cibersegurança, conforme estabelecido no Regulamento Cibersegurança. Inclui disposições para garantir que as pessoas singulares e coletivas tenham a possibilidade de solicitar e obter, armazenar, combinar e utilizar de forma segura dados de identificação pessoal e certificados eletrónicos de atributos para se autenticarem em linha e fora de linha, bem como para permitirem o acesso a bens e serviços públicos e privados em linha sob o controlo do utilizador. Esta certificação não prejudica o RGPD no sentido em que as operações de tratamento de dados pessoais relacionadas com a carteira europeia de identidade digital só podem ser certificadas nos termos dos artigos 42.º e 43.º do RGPD.

A proposta estabelece, no artigo 6.º-B, disposições específicas sobre os requisitos aplicáveis às partes utilizadoras para prevenir fraudes e garantir a autenticação de dados de identificação pessoal e certificados eletrónicos de atributos provenientes da carteira europeia de identidade digital.

A fim de disponibilizar mais meios de identificação eletrónica para utilização além-fronteiras e de melhorar a eficiência do processo de reconhecimento mútuo dos sistemas de identificação eletrónica notificados, o artigo 7.º prevê a obrigatoriedade de os Estados-Membros notificarem, pelo menos, um sistema de identificação eletrónica. Além disso, são aditadas ao artigo 11.º-A disposições destinadas a facilitar a identificação única, para garantir a identificação única e persistente de pessoas singulares. Tal diz respeito a casos em que a identificação é obrigatória por lei, como no domínio da saúde, no domínio das finanças (para cumprimento de obrigações em matéria de luta contra o branqueamento de capitais), ou no âmbito de processos judiciais. Para o efeito, os Estados-Membros serão obrigados a incluir um identificador único e persistente no conjunto mínimo de dados de identificação pessoal. A possibilidade de os Estados-Membros recorrerem à certificação para garantir a conformidade com o regulamento e, deste modo, substituírem o processo de avaliação pelos pares, melhora a eficiência do reconhecimento mútuo.

A secção 3 apresenta novas disposições relativas à utilização transfronteiriça da carteira europeia de identidade digital para assegurar que os utilizadores possam recorrer às carteiras europeias de identidade digital para aceder a serviços em linha prestados por organismos públicos e por prestadores de serviços privados que requeiram a utilização de autenticação forte do utilizador.

No capítulo III sobre serviços de confiança, o artigo 14.º, relativo aos aspetos internacionais, é alterado para permitir à Comissão adotar decisões de execução que atestem a equivalência dos requisitos aplicados aos prestadores de serviços de confiança criados em países terceiros e dos serviços que prestam, além de recorrer a acordos de reconhecimento mútuo em conformidade com o artigo 218.º do TFUE.

No que diz respeito à disposição geral aplicável aos serviços de confiança, incluindo aos prestadores qualificados de serviços de confiança, os artigos 17.º, 18.º, 20.º, 21.º e 24.º são alterados para ficarem alinhados com as regras aplicáveis à segurança das redes e da informação na UE. Quanto aos métodos a utilizar pelos prestadores qualificados de serviços de confiança para verificar a identidade de pessoas singulares ou coletivas para as quais são emitidos os certificados qualificados, as disposições relativas à utilização de meios identificação à distância foram harmonizadas e clarificadas para garantir que são aplicadas as mesmas regras em toda a UE.

O capítulo III apresenta um novo artigo 29.º-A para definir os requisitos aplicáveis a um serviço qualificado destinado à gestão de dispositivos de criação de assinaturas eletrónicas à distância. O novo serviço de confiança qualificado estará diretamente ligado e basear-se-á nas medidas referidas e avaliadas na avaliação de impacto, designadamente as medidas relativas à harmonização do processo de certificação de assinaturas eletrónicas à distância, e noutras medidas que requeiram a harmonização das práticas de supervisão dos Estados-Membros.

A fim de assegurar que os utilizadores podem identificar quem está por detrás de um sítio Web, o artigo 45.º é alterado para obrigar os fornecedores de navegadores Web a facilitarem a utilização de certificados qualificados de autenticação de sítios Web.

O capítulo III apresenta três novas secções.

A nova secção 9 insere disposições sobre os efeitos legais dos certificados eletrónicos de atributos, a sua utilização em determinados setores e os requisitos aplicáveis aos certificados qualificados de atributos. A fim de garantir um elevado nível de confiança, é inserida no artigo 45.º-D uma disposição relativa à verificação de atributos por confronto com fontes autênticas. Para garantir que os utilizadores da carteira europeia de identidade digital podem beneficiar da disponibilidade de certificados eletrónicos de atributos e que esses certificados são emitidos para a carteira europeia de identidade digital, é inserido um requisito no artigo 45.º-E. Por seu lado, o artigo 45.º-F contém regras adicionais para a prestação de serviços de certificados eletrónicos de atributos, incluindo no respeitante à proteção dos dados pessoais.

A nova secção 10 permite a prestação de serviços qualificados de arquivo eletrónico a nível da UE. O artigo 45.º-G, relativo aos serviços qualificados de arquivo eletrónico, complementa os artigos 34.º e 40.º, relativos aos serviços qualificados de preservação de assinaturas eletrónicas qualificadas e de selos eletrónicos qualificados.

A nova secção 11 estabelece um quadro para os serviços de confiança no que diz respeito à criação e manutenção de livros-razão eletrónicos e livros-razão eletrónicos qualificados. Um livro-razão eletrónico combina a validação cronológica de dados e a respetiva sequenciação com a certeza quanto ao originador dos dados similar às assinaturas eletrónicas, com a vantagem adicional de permitir uma governação mais descentralizada, adequada para uma cooperação entre várias partes. Trata-se de um aspeto importante para vários casos de utilização que podem basear-se em livros-razão eletrónicos.

Os livros-razão eletrónicos ajudam as empresas a reduzir os custos ao tornarem a coordenação entre as várias partes mais eficiente e mais segura, além de facilitarem a supervisão regulamentar. Na ausência de regulamentação europeia, existe o risco de os legisladores nacionais fixarem normas nacionais divergentes. Para evitar a fragmentação, é necessário definir um quadro pan-europeu único que permita o reconhecimento transfronteiriço de serviços de confiança que apoiem o funcionamento dos livros-razão eletrónicos. Esta norma pan-europeia para operadores de nós aplicar-se-á sem prejuízo de outros atos do direito derivado da UE. Sempre que forem utilizados livros-razão eletrónicos para apoiar a emissão e/ou negociação de obrigações, ou para criptoativos, os casos de utilização devem ser compatíveis com todas as regras financeiras aplicáveis, por exemplo com a Diretiva Mercados de Instrumentos Financeiros 11 , a Diretiva Serviços de Pagamento 12 e o futuro Regulamento Mercados de Criptoativos 13 . Sempre que os casos de utilização implicarem dados pessoais, os prestadores de serviços terão de cumprir o RGPD.

Em 2017, 75 % dos casos de utilização de livros-razão eletrónicos concentravam-se no setor bancário e financeiro. Os casos de utilização de livros-razão eletrónicos são hoje cada vez mais heterogéneos: 17 % referem-se à comunicação e aos meios de comunicação social; 15 % à indústria transformadora e aos recursos naturais, 10 % ao setor governamental, 8 % aos seguros, 5 % ao retalho, 6 % aos transportes, 5 % aos serviços de utilidade pública 14 .

Por último, o capítulo VI inclui um novo artigo 48.º-B para assegurar a recolha de estatísticas sobre a utilização da carteira europeia de identidade digital com o intuito de acompanhar a eficácia do regulamento alterado.

2021/0136 (COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

que altera o Regulamento (UE) n.º 910/2014 no respeitante à criação de um Quadro Europeu para a Identidade Digital

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.º,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu 15 ,

Deliberando de acordo com o processo legislativo ordinário,

Considerando o seguinte:

(1)A Comunicação da Comissão de 19 de fevereiro de 2020, intitulada «Construir o futuro digital da Europa» 16 , anuncia uma revisão do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho com o objetivo de melhorar a sua eficácia, alargar as suas vantagens ao setor privado e promover a utilização de identidades digitais fiáveis por todos os europeus.

(2)Nas suas conclusões de 1 e 2 de outubro de 2020 17 , o Conselho Europeu apelou à Comissão para que apresentasse uma proposta de desenvolvimento de um quadro relativo à identificação eletrónica pública segura em toda a UE, incluindo assinaturas digitais interoperáveis, a fim de dar às pessoas o controlo sobre a sua identidade e os seus dados em linha, bem como de permitir o acesso a serviços digitais públicos, privados e transfronteiriços.

(3)A Comunicação da Comissão de 9 de março de 2021, intitulada «Orientações para a Digitalização até 2030: a via europeia para a Década Digital» 18 , define o objetivo de um quadro da União que, até 2030, conduza a uma ampla implantação de uma identidade fiável e controlada pelo utilizador, permitindo a cada cidadão controlar as suas próprias interações e presença em linha.

(4)Uma abordagem mais harmonizada da identificação digital deverá reduzir os riscos e custos da atual fragmentação, causada pela utilização de soluções nacionais divergentes e reforçará o mercado único, permitindo aos cidadãos, outros residentes, conforme definidos pela legislação nacional, e empresas identificarem-se em linha de uma forma conveniente e uniforme em toda a União. Todas as pessoas devem poder aceder de forma segura a serviços públicos e privados apoiando-se num ecossistema melhorado de serviços de confiança e em provas verificadas de identidade e certificados de atributos, tais como um diploma universitário legalmente reconhecido e aceite em toda a União. O Quadro Europeu para a Identidade Digital visa alcançar uma mudança da dependência exclusiva de soluções de identidade digital nacionais para o fornecimento de certificados eletrónicos de atributos válidos a nível europeu. Os fornecedores de certificados eletrónicos de atributos devem beneficiar de um conjunto claro e uniforme de regras e as administrações públicas devem poder confiar em documentos eletrónicos num determinado formato.

(5)Para apoiar a competitividade das empresas europeias, os prestadores de serviços em linha devem poder contar com soluções de identidade digital reconhecidas em toda a União, independentemente do Estado-Membro em que tenham sido produzidas, beneficiando assim de uma abordagem europeia harmonizada em matéria de confiança, segurança e interoperabilidade. Tanto os utilizadores como os prestadores de serviços devem ser capazes de beneficiar do mesmo valor jurídico que o conferido aos certificados eletrónicos de atributos na União.

(6)O Regulamento (UE) 2016/679 19 aplica-se ao tratamento dos dados pessoais realizado em aplicação do presente regulamento. Por conseguinte, o presente regulamento deve estabelecer garantias específicas para impedir que os fornecedores de meios de identificação eletrónica e de certificados eletrónicos de atributos combinem dados pessoais de outros serviços com dados pessoais relativos aos serviços abrangidos pelo âmbito de aplicação do presente regulamento.

(7)É necessário estabelecer condições harmonizadas para a criação de um quadro para as carteiras europeias de identidade digital a emitir pelos Estados-Membros, que deverão habilitar todos os cidadãos da União e outros residentes, conforme definidos pela legislação nacional, a partilharem de forma segura dados relacionados com a sua identidade de uma maneira simples de utilizar e conveniente, sob o controlo exclusivo do utilizador. As tecnologias utilizadas para alcançar esses objetivos devem ser desenvolvidas visando o mais elevado nível de segurança e conveniência para o utilizador, bem como uma ampla usabilidade. Os Estados-Membros devem assegurar a igualdade de acesso a identificação digital a todos os seus nacionais e residentes.

(8)A fim de garantir o respeito da legislação da União, ou da legislação nacional conforme com a legislação da União, os prestadores de serviços devem comunicar aos Estados-Membros a sua intenção de utilizar as carteiras europeias de identidade digital. Tal permitirá aos Estados-Membros proteger os utilizadores contra fraudes e impedir a utilização ilícita de dados de identidade e certificados eletrónicos de atributos, bem como assegurar que o tratamento de dados sensíveis, como dados de saúde, pode ser verificado pelas partes utilizadoras de acordo com a legislação da União ou a legislação nacional.

(9)Todas as carteiras europeias de identidade digital devem permitir aos utilizadores identificarem-se eletronicamente e autenticarem-se em linha e fora de linha além-fronteiras para aceder a um vasto leque de serviços públicos e privados. Sem prejuízo das prerrogativas dos Estados-Membros no que diz respeito à identificação dos seus nacionais e residentes, as carteiras podem também servir as necessidades institucionais das administrações públicas, das organizações internacionais e das instituições, órgãos e organismos da União. A utilização fora de linha será importante em muitos setores, nomeadamente o setor da saúde onde os serviços são amiúde prestados através de uma interação presencial e onde a verificação da autenticidade das receitas eletrónicas deve poder basear-se em códigos QR ou tecnologias similares. Apoiando-se no nível de garantia «elevado», as carteiras europeias de identidade digital devem beneficiar do potencial oferecido por soluções invioláveis, como elementos seguros, para cumprir os requisitos de segurança previstos no presente regulamento. As carteiras europeias de identidade digital devem também permitir aos utilizadores criar e utilizar assinaturas e selos eletrónicos qualificados que sejam aceites em toda a UE. Num intuito de simplificação e de redução de custos em prol das pessoas e empresas na UE, nomeadamente ao permitir poderes de representação e mandatos eletrónicos, os Estados-Membros devem emitir carteiras europeias de identidade digital, baseadas em normas comuns para assegurar uma interoperabilidade contínua e um elevado nível de segurança. Apenas as autoridades competentes dos Estados-Membros podem oferecer um elevado nível de confiança na determinação da identidade de uma pessoa e, portanto, assegurar que a pessoa que reivindica ou declara ter uma determinada identidade é efetivamente a pessoa que alega ser. Por conseguinte, é necessário que as carteiras europeias de identidade digital se baseiem na identidade jurídica dos cidadãos, outros residentes ou entidades jurídicas. A confiança nas carteiras europeias de identidade digital será reforçada pelo facto de as partes emitentes serem obrigadas a implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança proporcional aos riscos criados para os direitos e liberdades das pessoas singulares, em consonância com o Regulamento (UE) 2016/679.

(10)A fim de alcançar um elevado nível de segurança e confiança, o presente regulamento estabelece os requisitos aplicáveis às carteiras europeias de identidade digital. A conformidade das carteiras europeias de identidade digital com esses requisitos deve ser certificada por entidades acreditadas do setor público ou privado designadas pelos Estados-Membros. O recurso a um sistema de certificação baseado na existência de normas adotadas de comum acordo com os Estados-Membros deve garantir um elevado nível de confiança e interoperabilidade. A certificação deve, em especial, basear-se nos sistemas europeus de certificação da cibersegurança pertinentes estabelecidos nos termos do Regulamento (UE) 2019/881 20 . Essa certificação não deverá prejudicar a certificação referente ao tratamento de dados pessoais prevista no Regulamento (UE) 2016/679.

(11)As carteiras europeias de identidade digital devem garantir o mais elevado nível de segurança dos dados pessoais utilizados para autenticação, independentemente de esses dados serem ou não armazenados localmente ou em soluções em nuvem, tendo em conta os diferentes níveis de risco. O recurso à biometria para autenticação é um método de identificação que oferece um elevado nível de confiança, sobretudo quando utilizado em combinação com outros elementos de autenticação. Uma vez que a biometria representa uma característica única de uma pessoa, o recurso à mesma requer medidas organizacionais e de segurança, proporcionais ao risco que esse tratamento pode implicar para os direitos e liberdades das pessoas singulares e em conformidade com o Regulamento (UE) 2016/679.

(12)A fim de garantir que o Quadro Europeu para a Identidade Digital está aberto à inovação, ao desenvolvimento tecnológico e preparado para o futuro, os Estados-Membros devem ser encorajados a criarem conjuntamente ambientes de testagem para testar soluções inovadoras num ambiente controlado e seguro, em especial, para melhorar a funcionalidade, a proteção dos dados pessoais, a segurança e a interoperabilidade das soluções e contribuir para futuras atualizações de referências técnicas e requisitos legais. Este ambiente deve promover a inclusão de pequenas e médias empresas europeias, empresas em fase de arranque e inovadores e investigadores individuais.

(13) O Regulamento (UE) 2019/1157 21 reforça a segurança dos bilhetes de identidade com dispositivos de segurança melhorados até agosto de 2021. Os Estados-Membros devem ponderar a viabilidade de os notificar ao abrigo dos sistemas de identificação eletrónica para alargar a disponibilidade transfronteiriça de meios de identificação eletrónica.

(14)O processo de notificação dos sistemas de identificação eletrónica deve ser simplificado e acelerado para promover o acesso a soluções de autenticação e identificação convenientes, de confiança, seguras e inovadoras e, quando pertinente, para encorajar os fornecedores de identidade privados a oferecer sistemas de identificação eletrónica às autoridades dos Estados-Membros para notificação enquanto sistemas nacionais de bilhete de identidade eletrónico ao abrigo do Regulamento (UE) n.º 910/2014.

(15)A simplificação dos procedimentos atuais de notificação e avaliação pelos pares evitará abordagens heterogéneas no que respeita à avaliação dos vários sistemas de identificação eletrónica notificados e facilitará o reforço da confiança entre Estados-Membros. Mecanismos novos e simplificados deverão promover a cooperação entre Estados-Membros em matéria de segurança e interoperabilidade dos seus sistemas de identificação eletrónica notificados.

(16)Os Estados-Membros devem beneficiar de ferramentas novas e flexíveis para garantir a conformidade com os requisitos do presente regulamento e dos atos de execução pertinentes. O presente regulamento deve permitir aos Estados-Membros utilizar relatórios e avaliações realizados por organismos de avaliação da conformidade acreditados ou sistemas voluntários de certificação da segurança das TIC, nomeadamente os sistemas de certificação que deverão ser criados a nível da União nos termos do Regulamento (UE) 2019/881, para fundamentar as suas alegações sobre o alinhamento dos sistemas ou parte dos mesmos com os requisitos desse regulamento em matéria de interoperabilidade e de segurança dos sistemas de identificação eletrónica notificados.

(17)Os prestadores de serviços utilizam os dados de identidade fornecidos pelo conjunto de dados de identificação pessoal disponíveis a partir de sistemas de identificação eletrónica previstos no Regulamento (UE) n.º 910/2014 para fazer corresponder utilizadores de outro Estado-Membro à identidade jurídica desses utilizadores. Contudo, apesar da utilização do conjunto de dados de eIDAS, em muitos casos garantir uma correspondência exata requer informações adicionais sobre o utilizador e procedimentos de identificação única específicos a nível nacional. Para facilitar ainda mais a utilização dos meios de identificação eletrónica, o presente regulamento deve exigir aos Estados-Membros que adotem medidas específicas para garantir uma correta correspondência de identidade no processo de identificação eletrónica. Para o mesmo fim, o presente regulamento deve também alargar o conjunto mínimo de dados obrigatório e exigir a utilização de um identificador eletrónico único e persistente em conformidade com a legislação da União nos casos em que seja necessário para identificar legalmente o utilizador, mediante pedido, de uma forma única e persistente.

(18)Em consonância com a Diretiva (UE) 2019/882 22 , as pessoas com deficiência deverão poder utilizar as carteiras europeias de identidade digital, os serviços de confiança e os produtos de utilizador final utilizados na prestação desses serviços em condições iguais às dos outros utilizadores.

(19)O presente regulamento não deverá abranger os aspetos relacionados com a celebração e a validade de contratos ou outras obrigações legais quando estes estabeleçam requisitos de caráter formal previstos na legislação nacional ou da União. Além disso, não deverá afetar os requisitos nacionais de caráter formal aplicáveis aos registos públicos, em particular, registos comerciais e prediais.

(20)A prestação e utilização de serviços de confiança estão a tornar-se cada vez mais importantes para o comércio e a cooperação internacionais. Os parceiros internacionais da UE estão a criar quadros de confiança inspirados no Regulamento (UE) n.º 910/2014. Por conseguinte, a fim de facilitar o reconhecimento desses dispositivos e dos respetivos fornecedores, a legislação de execução pode estabelecer as condições em que os quadros de confiança de países terceiros poderão ser considerados equivalentes ao quadro de confiança para os serviços de confiança qualificados e os prestadores qualificados de serviços de confiança previsto no presente regulamento, como complemento à possibilidade de reconhecimento mútuo de serviços e prestadores de serviços de confiança estabelecidos na União e em países terceiros nos termos do artigo 218.º do Tratado.

(21)O presente regulamento deve basear-se nos atos da União que asseguram a disputabilidade e a equidade dos mercados no setor digital. Em especial, baseia-se no Regulamento XXX/XXXX [Regulamento Mercados Digitais], que introduz regras aplicáveis a prestadores de serviços essenciais de plataforma designados por controladores de acesso e, entre outros aspetos, proíbe os controladores de acesso de exigir aos utilizadores profissionais que utilizem, proponham ou interoperem com um serviço de identificação do controlador de acesso no contexto dos serviços propostos pelos utilizadores profissionais que utilizam os serviços essenciais de plataforma desse controlador de acesso. O artigo 6.º, n.º 1, alínea f), do Regulamento XXX/XXX [Regulamento Mercados Digitais] exige que os controlares de acesso permitam aos utilizadores profissionais e aos prestadores de serviços complementares o acesso e a interoperabilidade com o mesmo sistema operativo, hardware ou funcionalidades de software disponíveis ou utilizados na prestação de qualquer serviço complementar por parte do controlador de acesso. De acordo com o artigo 2.º, ponto 15, do [Regulamento Mercados Digitais] os serviços de identificação constituem um tipo de serviços complementares. Os utilizadores profissionais e os prestadores de serviços complementares deverão, portanto, poder aceder a esse hardware e a essas funcionalidades de software, nomeadamente elementos seguros em telefones inteligentes, e interoperar com as mesmas através das carteiras europeias de identidade digital ou dos meios de identificação eletrónica notificados pelos Estados-Membros.

(22)A fim de simplificar as obrigações em matéria de cibersegurança impostas aos prestadores de serviços de confiança, bem como de permitir a esses prestadores e às respetivas autoridades competentes beneficiarem do quadro legal instituído pela Diretiva XXXX/XXXX [Diretiva SRI 2], os serviços de confiança são obrigados a adotar medidas técnicas e organizacionais adequadas nos termos da Diretiva XXXX/XXXX [Diretiva SRI 2], nomeadamente medidas que respondam a falhas do sistema, erro humano, ações maliciosas ou fenómenos naturais para gerir os riscos colocados à segurança da rede e aos sistemas de informação que esses prestadores utilizam na prestação dos seus serviços, bem como para notificar incidentes significativos e ciberameaças de acordo com a Diretiva XXXX/XXXX [Diretiva SRI 2]. No que diz respeito à comunicação de incidentes, os prestadores de serviços de confiança devem notificar todos os incidentes com um impacto significativo na prestação dos seus serviços, nomeadamente os causados por roubo ou perda de dispositivos, danos no cabo de rede ou ocorridos no contexto da identificação de pessoas. Os requisitos de gestão dos riscos de cibersegurança e as obrigações de notificação previstos na Diretiva XXXX/XXXX [Diretiva SRI 2] devem ser considerados complementares aos requisitos impostos aos prestadores de serviços de confiança no âmbito do presente regulamento. Sempre que adequado, as práticas ou orientações nacionais estabelecidas em relação à implementação de requisitos de segurança e prestação de informações e à supervisão da conformidade com esses requisitos nos termos do Regulamento (UE) n.º 910/2014 devem continuar a ser aplicadas pelas autoridades competentes designadas ao abrigo da Diretiva XXXX/XXXX [Diretiva SRI 2]. Os requisitos previstos no presente regulamento não afetam a obrigação de notificar violações de dados pessoais no âmbito do Regulamento (UE) 2016/679.

(23)Deverá prestar-se a devida atenção à garantia de uma cooperação eficaz entre as autoridades SRI e eIDAS. Nos casos em que a entidade supervisora prevista no presente regulamento seja diferente das autoridades competentes designadas ao abrigo da Diretiva XXXX/XXXX [Diretiva SRI 2], essas autoridades devem cooperar estreitamente e de forma oportuna procedendo ao intercâmbio de informações pertinentes para assegurar a supervisão eficaz e a conformidade dos prestadores de serviços de confiança com os requisitos estabelecidos no presente regulamento e na Diretiva XXXX/XXXX [Diretiva SRI 2]. Em especial, as entidades supervisoras nos termos do presente regulamento devem estar habilitadas a pedir à autoridade competente nos termos da Diretiva XXXX/XXXX [Diretiva SRI 2] que preste as informações pertinentes necessárias para conceder o estatuto de qualificado e para levar a cabo as ações de supervisão destinadas a verificar se os prestadores de serviços de confiança cumprem os requisitos pertinentes previstos na SRI 2 ou a exigir-lhes que corrijam as situações de incumprimento.

(24)É essencial prever um quadro legal para facilitar o reconhecimento transfronteiriço entre os sistemas jurídicos nacionais vigentes no que diz respeito aos serviços de envio registado eletrónico. O quadro também pode abrir novas oportunidades de mercado aos prestadores de serviços de confiança da União para oferecer novos serviços de envio registado eletrónico pan-europeu e garantir que a identificação dos destinatários é assegurada com um maior nível de confiança do que a identificação do remetente.

(25)Na maioria dos casos, os cidadãos e outros residentes não podem trocar digitalmente, além-fronteiras, informações relacionadas com a sua identidade, tais como endereços, idade e habilitações profissionais, cartas de condução e outras licenças e dados de pagamento, de forma segura e com um elevado nível de proteção dos dados.

(26)Deverá ser possível emitir e tratar atributos digitais fiáveis e contribuir para reduzir os encargos administrativos, permitindo que os cidadãos e outros residentes os utilizem nas suas transações privadas e públicas. Os cidadãos e outros residentes devem poder, por exemplo, comprovar a titularidade de uma carta de condução válida emitida por uma autoridade de um Estado-Membro, que as autoridades competentes de outros Estados-Membros possam verificar e corroborar, e utilizar as suas credenciais de segurança social ou os futuros documentos de viagem digitais num contexto transfronteiriço.

(27)Qualquer entidade que recolha, crie e emita atributos certificados como diplomas, licenças ou certidões de nascimento deve poder tornar-se um fornecedor de certificados eletrónicos de atributos. As partes utilizadoras devem utilizar os certificados eletrónicos de atributos como sendo equivalentes aos certificados em suporte de papel. Por conseguinte, não podem ser negados efeitos legais a um certificado eletrónico de atributos pelo facto de se apresentar em formato eletrónico ou de não cumprir os requisitos do certificado eletrónico qualificado de atributos. Para esse efeito, devem ser estabelecidos requisitos gerais que garantam que um certificado eletrónico qualificado de atributos tem um efeito legal equivalente ao dos certificados emitidos legalmente em suporte de papel. Contudo, esses requisitos devem aplicar-se sem prejuízo da legislação da União ou nacional que defina requisitos setoriais específicos suplementares no tocante ao formato com efeitos legais subjacentes e, em especial, ao reconhecimento transfronteiriço de certificados eletrónicos qualificados de atributos, se for caso disso.

(28)A ampla disponibilidade e usabilidade das carteiras europeias de identidade digital implica a sua aceitação pelos prestadores de serviços privados. As partes utilizadoras privadas que prestem serviços nos domínios dos transportes, da energia, do serviços bancários e financeiros, da segurança social, da saúde, da água potável, dos serviços postais, das infraestruturas digitais, da educação ou das telecomunicações devem aceitar a utilização das carteiras europeias de identidade digital para a prestação de serviços sempre que a legislação nacional ou da União ou uma obrigação contratual exijam a autenticação forte do utilizador para efeitos de identificação em linha. Sempre que plataformas em linha de muito grande dimensão, conforme definidas no artigo 25.º, n.º 1, do Regulamento [referência Regulamento Serviços Digitais], exijam que os utilizadores se autentiquem para aceder a serviços em linha, devem ser obrigadas a aceitar a utilização de carteiras europeias de identidade digital mediante pedido voluntário do utilizador. Os utilizadores não devem ter a obrigação de utilizar a carteira para aceder a serviços privados, mas se o pretenderem, as plataformas em linha de muito grande dimensão devem aceitar a carteira europeia de identidade digital para esta finalidade, respeitando simultaneamente o princípio da minimização dos dados. Atendendo à importância das plataformas em linha de muito grande dimensão, devido ao seu alcance, expresso, nomeadamente, em termos de número de destinatários do serviço e de transações económicas, tal é necessário para aumentar a proteção dos utilizadores contra fraudes e garantir um elevado nível de proteção dos dados. Devem ser elaborados códigos de conduta de autorregulação a nível da União («códigos de conduta») para contribuir para a ampla disponibilidade e usabilidade de meios de identificação eletrónica, nomeadamente carteiras europeias de identidade digital, no âmbito do presente regulamento. Os códigos de conduta devem facilitar a ampla aceitação dos meios de identificação eletrónica, incluindo das carteiras europeias de identidade digital, pelos prestadores de serviços que não se qualificam como plataformas de muito grande dimensão e que dependem de serviços de identificação eletrónica de terceiros para a autenticação dos utilizadores. Esses códigos devem ser elaborados no prazo de 12 meses a contar da data de adoção do presente regulamento. A Comissão deve avaliar a eficácia dessas disposições no respeitante à disponibilidade e usabilidade das carteiras europeias de identidade digital para o utilizador decorridos 18 meses da sua implantação, bem como rever as disposições para assegurar a sua aceitação por meio de atos delegados à luz desta avaliação.

(29)A carteira europeia de identidade digital deve permitir tecnicamente a divulgação seletiva de atributos às partes utilizadoras. Esta funcionalidade deve tornar-se uma funcionalidade da conceção de base, permitindo reforçar a conveniência e a proteção de dados pessoais, nomeadamente a minimização do tratamento de dados pessoais.

(30)Os atributos fornecidos pelos prestadores qualificados de serviços de confiança no âmbito do certificado qualificado de atributos devem ser verificados por confronto com as fontes autênticas diretamente pelo prestador qualificado do serviço de confiança ou através de intermediários designados reconhecidos a nível nacional em conformidade com a legislação nacional ou da União para efeitos de intercâmbio seguro de atributos certificados entre prestadores de serviços de identidade ou de certificados de atributos e partes utilizadoras.

(31)A identificação eletrónica segura e o fornecimento de certificados de atributos devem oferecer flexibilidade e soluções adicionais ao setor dos serviços financeiros, a fim de permitir a identificação de clientes e o intercâmbio de atributos específicos necessários para cumprir, por exemplo, os requisitos de vigilância da clientela nos termos do Regulamento Antibranqueamento de Capitais [referência a aditar após a adoção da proposta], os requisitos de adequação decorrentes da legislação em matéria de proteção dos investidores, ou para apoiar o cumprimento dos requisitos de autenticação forte dos clientes para início de sessão ou início de transações no domínio dos serviços de pagamento.

(32)Os serviços de autenticação de sítios Web dão aos utilizadores a garantia de que existe uma entidade genuína e legítima responsável pelo sítio Web. Estes serviços contribuem para a criação de segurança e confiança na realização de negócios em linha, pois os utilizadores confiarão nos sítios Web que tenham sido autenticados. A utilização de serviços de autenticação de sítios Web pelos sítios Web é voluntária. Contudo, para que a autenticação de sítios Web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e incentivar o crescimento no mercado interno, o presente regulamento estabelece obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos prestadores de serviços de autenticação de sítios Web e pelos serviços que prestam. Para o efeito, os navegadores Web devem assegurar apoio e interoperabilidade com certificados qualificados de autenticação de sítios Web de acordo com o Regulamento (UE) n.º 910/2014. Devem reconhecer e exibir certificados qualificados de autenticação de sítios Web para prestar um elevado nível de garantia, permitindo aos proprietários do sítio Web declarar a sua identidade enquanto proprietários de um sítio Web e aos utilizadores identificar os proprietários do sítio Web com um elevado grau de certeza. Para promover ainda mais a sua utilização, as autoridades públicas dos Estados-Membros devem equacionar incorporar certificados qualificados de autenticação de sítios Web nos respetivos sítios Web.

(33)Muitos Estados-Membros introduziram requisitos nacionais para os serviços que asseguram um arquivo digital seguro e fiável, a fim de permitir a conservação a longo prazo de documentos eletrónicos e serviços de confiança associados. Para garantir a segurança jurídica e a confiança, é essencial proporcionar um quadro legal que facilite o reconhecimento além-fronteiras de serviços qualificados de arquivo eletrónico. Esse quadro poderá também abrir novas oportunidades de mercado aos prestadores de serviços de confiança da União.

(34)Os livros-razão eletrónicos qualificados registam dados de uma forma que garante a singularidade, a autenticidade e a correta sequenciação das entradas de dados de um modo inviolável. Um livro-razão eletrónico combina o efeito da validação cronológica de dados com a certeza quanto ao originador similar às assinaturas eletrónicas e tem a vantagem adicional de permitir modelos de governação mais descentralizados, adequados para uma cooperação entre várias partes. Por exemplo, cria uma pista de auditoria fiável para a origem de mercadorias no comércio transfronteiriço, apoia a proteção dos direitos de propriedade intelectual, dota os mercados da eletricidade de uma maior flexibilidade, fornece a base para soluções avançadas de identidade autossoberana e apoia serviços públicos mais eficientes e transformadores. Para evitar a fragmentação do mercado interno, é importante definir um quadro legal pan-europeu que permita o reconhecimento transfronteiriço de serviços de confiança para o registo de dados em livros-razão eletrónicos.

(35)A certificação dos prestadores qualificados de serviços de confiança deve proporcionar segurança jurídica para casos de utilização assentes em livros-razão eletrónicos. Este serviço de confiança para livros-razão eletrónicos e livros-razão qualificados eletrónicos e a certificação dos prestadores qualificados de serviços de confiança para livros-razão eletrónicos não deve prejudicar a necessidade de os casos de utilização cumprirem a legislação da União ou a legislação nacional conforme com a legislação da União. Os casos de utilização que envolvam o tratamento de dados pessoais têm de cumprir o Regulamento (UE) 2016/679. Os casos de utilização que envolvam criptoativos devem ser compatíveis com todas as regras financeiras aplicáveis, por exemplo com a Diretiva Mercados de Instrumentos Financeiros 23 , a Diretiva Serviços de Pagamento 24 e o futuro Regulamento Mercados de Criptoativos 25 .

(36)A fim de evitar a fragmentação e os entraves decorrentes da existência de normas divergentes e de restrições técnicas, e com vista a assegurar um processo coordenado para evitar comprometer a execução do futuro Quadro Europeu para a Identidade Digital, afigura-se necessário um processo de cooperação estreita e estruturada entre a Comissão, os Estados-Membros e o setor privado. Para alcançar este objetivo, os Estados-Membros devem cooperar no âmbito do quadro estabelecido na Recomendação XXX/XXXX da Comissão [relativa a um conjunto de instrumentos comuns a nível da União para uma abordagem coordenada do Quadro Europeu para a Identidade Digital] 26 , a fim de identificar um conjunto de instrumentos para um Quadro Europeu para a Identidade Digital. O conjunto de instrumentos deve incluir uma arquitetura técnica abrangente e um quadro de referência, um conjunto de normas comuns e referências técnicas, e um conjunto de orientações e descrições de boas práticas que contemplem, pelo menos, todos os aspetos das funcionalidades e da interoperabilidade das carteiras europeias de identidade digital, incluindo as assinaturas eletrónicas, e do serviço de confiança qualificado de certificados de atributos conforme estabelecido no presente regulamento. Neste contexto, os Estados-Membros devem também chegar a acordo sobre elementos comuns de um modelo de negócio e da estrutura de taxas das carteiras europeias de identidade digital, para facilitar a adesão, em especial pelas pequenas e médias empresas num contexto transfronteiriço. O conteúdo do conjunto de instrumentos deve evoluir em paralelo e refletir o resultado do debate e do processo de adoção do Quadro Europeu para a Identidade Digital.

(37)A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o artigo 42.º, n.º 1, do Regulamento (UE) 2018/1525 do Parlamento Europeu e do Conselho 27 .

(38)O Regulamento (UE) 910/2014 deve, por conseguinte, ser alterado em conformidade,

ADOTARAM O PRESENTE REGULAMENTO:

Artigo 1.º

O Regulamento (UE) n.º 910/2014 é alterado do seguinte modo:

(1)O artigo 1.º passa a ter a seguinte redação:

«O presente regulamento visa assegurar o correto funcionamento do mercado interno e alcançar um nível adequado de segurança dos meios de identificação eletrónica e dos serviços de confiança. Para este efeito, o presente regulamento:

(a)Estabelece as condições em que os Estados-Membros prestam, reconhecem e aceitam os meios de identificação eletrónica para identificar pessoas singulares e coletivas no quadro de um sistema de identificação eletrónica notificado de outro Estado-Membro;

(b)Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrónicas;

(c)Institui um quadro legal para as assinaturas eletrónicas, os selos eletrónicos, os selos temporais eletrónicos, os documentos eletrónicos, os serviços de envio registado eletrónico e os serviços de certificados para autenticação de sítios Web, o arquivo eletrónico e o certificado eletrónico de atributos, a gestão de dispositivos de criação de assinaturas e de selos eletrónicos à distância, e os livros-razão eletrónicos;

(d)Estabelece as condições para a emissão de carteiras europeias de identidade digital pelos Estados-Membros.»;

(2)O artigo 2.º é alterado do seguinte modo:

(a)O n.º 1 passa a ter a seguinte redação:

«1.    O presente regulamento aplica-se aos sistemas de identificação eletrónica notificados pelos Estados-Membros, às carteiras europeias de identidade digital emitidas pelos Estados-Membros e aos prestadores de serviços de confiança estabelecidos na União.»;

(b)O n.º 3 passa a ter a seguinte redação:

«3.    O presente regulamento não prejudica as disposições legislativas nacionais ou da União em matéria de celebração e validade de contratos nem outras obrigações legais ou de natureza processual relacionadas com requisitos setoriais específicos relativas à forma com efeitos legais subjacentes.»;

(3)O artigo 3.º é alterado do seguinte modo:

(a)O ponto 2 passa a ter a seguinte redação:

«2)    “Meio de identificação eletrónica”: uma unidade material e/ou imaterial, incluindo carteiras europeias de identidade digital ou bilhetes de identidade na aceção do Regulamento (UE) 2019/1157, que contenha os dados de identificação pessoal e que seja utilizada para autenticação de um serviço em linha ou fora de linha;»;

(b)O ponto 4 passa a ter a seguinte redação:

«4)    “Sistema de identificação eletrónica”: um sistema de identificação eletrónica ao abrigo do qual sejam produzidos meios de identificação eletrónica para as pessoas singulares ou coletivas, ou para as pessoas singulares que representem pessoas coletivas;»;

(c)O ponto 14 passa a ter a seguinte redação:

«14)    “Certificado de assinatura eletrónica”: um certificado eletrónico ou conjunto de certificados que associa os dados de validação da assinatura eletrónica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo;»;

(d)O ponto 16 passa a ter a seguinte redação:

«16)    “Serviço de confiança”: um serviço eletrónico geralmente prestado mediante pagamento, que consiste:

(a)Na criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais eletrónicos, serviços de envio registado eletrónico, certificados eletrónicos de atributos e certificados relacionados com estes serviços;

(b)Na criação, verificação e validação de certificados para a autenticação de sítios Web;

(c)Na preservação das assinaturas, selos ou certificados eletrónicos relacionados com esses serviços;

(d) No arquivo eletrónico de documentos eletrónicos;

(e)Na gestão de dispositivos de criação de assinaturas e de selos eletrónicos à distância;

(f)No registo de dados eletrónicos num livro-razão eletrónico.»;

(e)O ponto 21 passa a ter a seguinte redação:

«21)    “Produto”: hardware ou software, ou componentes pertinentes de hardware e/ou software, que se destinem a ser utilizados para a prestação de serviços de identificação eletrónica e de serviços de confiança;»;

(f)São inseridos os seguintes pontos 23-A e 23-B:

«23-A)    “Dispositivo qualificado de criação de assinaturas eletrónicas à distância”: um dispositivo qualificado de criação de assinaturas eletrónicas em que um prestador qualificado de serviços de confiança cria, gere ou duplica os dados para a criação de uma assinatura eletrónica em nome de um signatário;

23-B)    “Dispositivo qualificado de criação de selos à distância”: um dispositivo qualificado de criação de selos eletrónicos em que um prestador qualificado de serviços de confiança cria, gere ou duplica os dados para a criação de um selo eletrónico em nome do criador do selo;»;

(g)O ponto 29 passa a ter a seguinte redação:

«29)    “Certificado de selo eletrónico”: um certificado eletrónico ou um conjunto de certificados que associa os dados de validação do selo eletrónico a uma pessoa coletiva e confirma o seu nome;»;

(h)O ponto 41 passa a ter a seguinte redação:

«41)    “Validação”: o processo pelo qual é verificada e confirmada a validade de uma assinatura ou selo eletrónico, dos dados de identificação pessoal ou de um certificado eletrónico de atributos;»;

(i)São aditados os pontos 42 a 55 que se seguem:

«42)    “Carteira europeia de identidade digital”: um produto e um serviço que permitem ao utilizador armazenar dados de identidade, credenciais e atributos associados à sua identidade, com vista a fornecê-los a partes utilizadoras mediante pedido e a utilizá-los para autenticação, em linha e fora de linha, para um serviço em conformidade com o artigo 6.º-A, bem como para criar assinaturas e selos eletrónicos qualificados;

43)    “Atributo”: uma particularidade, característica ou qualidade de uma pessoa singular ou coletiva ou de uma entidade, em formato eletrónico;

44)    “Certificado eletrónico de atributos”: um certificado em formato eletrónico que permite a autenticação de atributos;

45)    “Certificado eletrónico qualificado de atributos”: um certificado eletrónico de atributos que seja emitido por um prestador qualificado de serviços de confiança e satisfaça os requisitos estabelecidos no anexo V;

46)    “Fonte autêntica”: um repositório ou sistema, sob a responsabilidade de um organismo do setor público ou de uma entidade privada, que contém os atributos relativos a uma pessoa singular ou coletiva e é considerado a fonte principal dessa informação ou reconhecido como autêntico pela legislação nacional;

47)    “Arquivo eletrónico”: um serviço que assegura a receção, o armazenamento, o apagamento e a transmissão de dados ou documentos eletrónicos para garantir a sua integridade, a exatidão da sua origem e as especificidades jurídicas durante o período de conservação;

48)    “Serviço qualificado de arquivo eletrónico”: um serviço que satisfaça os requisitos estabelecidos no artigo 45.º-G;

49)    “Marca de confiança de carteira de identidade digital da UE”: uma indicação de um modo simples, reconhecível e claro de que uma carteira de identidade digital foi emitida em conformidade com o presente regulamento;

50)    “Autenticação forte do utilizador”: uma autenticação baseada na utilização de dois ou mais elementos, categorizados como conhecimento do utilizador, posse e inerência, que são independentes, de tal forma que a violação de um deles não compromete a fiabilidade dos outros, e que foi concebida de modo a proteger a confidencialidade dos dados de autenticação;

51)    “Conta de utilizador”: um mecanismo que permite a um utilizador aceder a serviços públicos ou privados nos termos e condições estipulados pelo prestador do serviço;

52)    “Credencial”: um comprovativo das capacidades, da experiência e do direito ou permissão de uma pessoa;

53)    “Livro-razão eletrónico”: um registo eletrónico de dados inviolável, que assegura a autenticidade e integridade dos dados que contém, bem como a exatidão da sua data, hora e ordem cronológica;

54)    “Dados pessoais”: qualquer informação na aceção do artigo 4.º, ponto 1, do Regulamento (UE) 2016/679;

55)    “Identificação única”: um processo em que os dados de identificação pessoal ou os meios de identificação pessoal são combinados ou associados a uma conta existente pertencente à mesma pessoa.»;

(4)O artigo 5.º passa a ter a seguinte redação:

«Artigo 5.º

Pseudónimos em transações eletrónicas

Sem prejuízo dos efeitos legais conferidos aos pseudónimos nos termos das legislações nacionais, não é proibido utilizar pseudónimos em transações eletrónicas.»;

(5)No capítulo II, o título passa a ter a seguinte redação:

«SECÇÃO I

IDENTIFICAÇÃO ELETRÓNICA»;

(6)É suprimido o artigo 6.º;

(7)São inseridos os seguintes artigos (6.º-A, 6.º-B, 6.º-C e 6.º-D):

«Artigo 6.º-A

Carteiras europeias de identidade digital

1.    A fim de assegurar que todas as pessoas singulares e coletivas na União dispõem de acesso seguro, contínuo e de confiança a serviços públicos e privados transfronteiriços, cada Estado-Membro emite uma carteira europeia de identidade digital no prazo de 12 meses após a entrada em vigor do presente regulamento.

2.    As carteiras europeias de identidade digital são emitidas:

(a)Por um Estado-Membro;

(b)Por mandato de um Estado-Membro;

(c)De forma independente, mas reconhecida por um Estado-Membro.

3.    As carteiras europeias de identidade digital permitem ao utilizador:

(a)Pedir e obter de forma segura, armazenar, selecionar, combinar e partilhar, de um modo que seja transparente e rastreável pelo utilizador, os dados legais de identificação pessoal e o certificado eletrónico de atributos necessários para se autenticar em linha e fora de linha, a fim de utilizar serviços públicos e privados em linha;

(b)Assinar através de assinaturas eletrónicas qualificadas.

4.    As carteiras de identidade digital devem, nomeadamente:

(a)Fornecer uma interface comum:

(1)Aos prestadores qualificados e não qualificados de serviços de confiança que emitam certificados eletrónicos qualificados e não qualificados de atributos ou outros certificados qualificados e não qualificados, para efeitos de emissão desses certificados para a carteira europeia de identidade digital;

(2) Às partes utilizadoras, para pedirem e validarem dados de identificação pessoal e certificados eletrónicos de atributos;

(3)Para apresentar às partes utilizadoras dados de identificação pessoal, certificados eletrónicos de atributos ou outros dados, como credenciais, em modo local que não requeira o acesso da carteira à Internet;

(4)Ao utilizador, para permitir a interação com a carteira europeia de identidade digital e exibir uma «marca de confiança de carteira de identidade digital da UE»;

(b)Garantir que os prestadores de serviços de confiança de certificados qualificados de atributos não possam receber quaisquer informações sobre a utilização desses atributos;

(c)Satisfazer os requisitos definidos no artigo 8.º no que diz respeito ao nível «elevado» de garantia, em especial à sua aplicação aos requisitos de prova e verificação da identidade, assim como à gestão e autenticação de meios de identificação eletrónica;

(d)Proporcionar um mecanismo para garantir que a parte utilizadora pode autenticar o utilizador e receber certificados eletrónicos de atributos;

(e)Assegurar que os dados de identificação pessoal a que se refere o artigo 12.º, n.º 4, alínea d), representam única e persistentemente a pessoa singular ou coletiva associada aos mesmos.

5.    Os Estados-Membros fornecem mecanismos de validação para as carteiras europeias de identidade digital:

(a)Para garantir que a sua autenticidade e validade podem ser verificadas;

(b)Para permitir às partes utilizadoras verificar se os certificados de atributos são válidos;

(c)Para permitir às partes utilizadoras e aos prestadores qualificados de serviços de segurança verificar a autenticidade e validade dos dados de identificação pessoal atribuídos.

6.    As carteiras europeias de identidade digital são emitidas ao abrigo de um sistema de identificação eletrónica notificado com nível de garantia «elevado». A utilização das carteiras europeias de identidade digital é gratuita para pessoas singulares.

7.    O utilizador tem pleno controlo sobre a carteira europeia de identidade digital. O emitente da carteira europeia de identidade digital não recolhe informações sobre a utilização da carteira que não sejam necessárias para a prestação dos serviços da carteira, nem combina os dados de identificação pessoal e quaisquer outros dados pessoais armazenados ou relacionados com a utilização da carteira europeia de identidade digital com dados pessoais de outros serviços por si oferecidos ou de serviços de terceiros que não sejam necessários para a prestação dos serviços da carteira, salvo pedido expresso do utilizador. Os dados pessoais relacionados com o fornecimento de carteiras europeias de identidade digital são conservados fisicamente e são logicamente separados de quaisquer outros dados detidos. Se a carteira europeia de identidade digital for fornecida por partes privadas nos termos do n.º 1, alíneas b) e c), o disposto no artigo 45.º-F, n.º 4, aplica-se mutatis mutandis.

8.    O artigo 11.º aplica-se mutatis mutandis à carteira europeia de identidade digital.

9.    O artigo 24.º, n.º 2, alíneas b), e), g) e h), aplica-se mutatis mutandis aos Estados-Membros que emitam carteiras europeias de identidade digital.

10.    A carteira europeia de identidade digital é disponibilizada a pessoas com deficiência em conformidade com os requisitos de acessibilidade constantes do anexo I da Diretiva (UE) 2019/882.

11.    No prazo de seis meses após a entrada em vigor do presente regulamento, a Comissão estabelece especificações técnicas e operacionais e normas de referência para os requisitos referidos nos n.os 3, 4 e 5 mediante um ato de execução relativo à implementação da carteira europeia de identidade digital. Esse ato de execução é adotado pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.

Artigo 6.º-B

Partes utilizadoras de carteiras europeias de identidade digital

1.    Sempre que as partes utilizadoras pretendam recorrer a carteiras europeias de identidade digital emitidas de acordo com o presente regulamento, comunicam a sua intenção ao Estado-Membro onde estão estabelecidas para assegurar a conformidade com os requisitos aplicáveis à prestação de serviços específicos estabelecidos na legislação da União ou legislação nacional. Ao comunicarem a sua intenção de recorrer a carteiras europeias de identidade digital, informam também sobre o uso que pretendem dar-lhes.

2.    Os Estados-Membros implementam um mecanismo comum para a autenticação de partes utilizadoras.

3.    As partes utilizadoras são responsáveis por executar o procedimento de autenticação de dados de identificação pessoal e de certificados eletrónicos de atributos com origem em carteiras europeias de identidade digital.

4.    No prazo de seis meses após a entrada em vigor do presente regulamento, a Comissão estabelece especificações técnicas e operacionais para os requisitos referidos nos n.os 1 e 2 mediante um ato de execução relativo à implementação das carteiras europeias de identidade digital, como referido no artigo 6.º-A, n.º 10.

Artigo 6.º-C

Certificação de carteiras europeias de identidade digital

1.    Presume-se que as carteiras europeias de identidade digital que tenham sido certificadas ou relativamente às quais tenha sido emitida uma declaração de conformidade no âmbito de um sistema de cibersegurança nos termos do Regulamento (UE) 2019/881 e cujas referências tenham sido publicadas no Jornal Oficial da União Europeia estão em conformidade com os requisitos de cibersegurança aplicáveis estabelecidos no artigo 6.º-A, n.os 3, 4 e 5, na medida em que o certificado de cibersegurança ou a declaração de conformidade ou partes dos mesmos abranjam esses requisitos.

2.    A conformidade com os requisitos estabelecidos no artigo 6.º-A, n.os 3, 4 e 5, relativos às operações de tratamento de dados pessoais realizadas pelo emitente das carteiras europeias de identidade digital é certificada nos termos do Regulamento (UE) 2016/679.

3.    A conformidade das carteiras europeias de identidade digital com os requisitos estabelecidos no artigo 6.º-A, n.os 3, 4 e 5, é certificada por entidades acreditadas públicas ou privadas designadas pelos Estados-Membros.

4.    No prazo de seis meses a contar da entrada em vigor do presente regulamento, a Comissão elabora, por meio de atos de execução, uma lista de normas para a certificação das carteiras europeias de identidade digital a que se refere o n.º 3.

5.    Os Estados-Membros comunicam à Comissão a denominação e o endereço das entidades públicas ou privadas a que se refere o n.º 3. A Comissão põe a informação à disposição dos Estados-Membros.

6.    A Comissão fica habilitada a adotar atos delegados em conformidade com o artigo 47.º no que diz respeito a estabelecer os critérios específicos a cumprir pelas entidades designadas a que se refere o n.º 3.

Artigo 6.º-D

Publicação de uma lista de carteiras europeias de identidade digital certificadas

1.    Os Estados-Membros informam a Comissão sem demora injustificada sobre as carteiras europeias de identidade digital que foram emitidas nos termos do artigo 6.º-A e certificadas pelas entidades a que se refere o artigo 6.º-C, n.º 3. Informam igualmente a Comissão sem demora injustificada se a certificação for cancelada.

2.    Com base nas informações recebidas, a Comissão elabora, publica e mantém atualizada uma lista de carteiras europeias de identidade digital certificadas.

3.    No prazo de seis meses após a entrada em vigor do presente regulamento, a Comissão define formatos e procedimentos aplicáveis para efeitos do n.º 1 mediante um ato de execução relativo à implementação das carteiras europeias de identidade digital conforme referido no artigo 6.º-A, n.º 10.»;

(8)Antes do artigo 7.º, é inserido o seguinte título:

«SECÇÃO II

SISTEMAS DE IDENTIFICAÇÃO ELETRÓNICA»;

(9)O proémio do artigo 7.º passa a ter a seguinte redação:

«Nos termos do artigo 9.º, n.º 1, os Estados-Membros notificam, no prazo de 12 meses após a entrada em vigor do presente regulamento, pelo menos um sistema de identificação eletrónica que inclua, no mínimo, um meio de identificação:»;

(10)No artigo 9.º, os n.os 2 e 3 passam a ter a seguinte redação:

«2.    A Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.º 1 do presente artigo e as informações básicas a eles respeitantes.

3.    A Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.º 2 no prazo de um mês a contar da data de receção dessa notificação.»;

(11)É inserido o seguinte artigo 10.º-A:

«Artigo 10.º-A

Violação da segurança das carteiras europeias de identidade digital

1.    Se as carteiras europeias de digitais emitidas nos termos do artigo 6.º-A e de acordo com os mecanismos de validação a que se refere o artigo 6.º-A, n.º 5, alíneas a), b) e c), forem violadas ou ficarem parcialmente comprometidas de uma forma que afete a sua fiabilidade ou a fiabilidade das demais carteiras europeias de identidade digital, o Estado-Membro emitente suspende, sem demora, a emissão, revoga a validade da carteira europeia de identidade digital e informa os outros Estados-Membros e a Comissão em conformidade.

2.    Se a violação ou o comprometimento referidos no n.º 1 forem sanados, o Estado-Membro emitente restabelece a emissão e utilização da carteira europeia de identidade digital e informa desse facto, sem demora indevida, os outros Estados-Membros e a Comissão.

3.    Se a violação ou o comprometimento a que se refere o n.º 1 não forem sanados no prazo de três meses a contar da suspensão ou revogação, o Estado-Membro em causa retira a carteira europeia digital em questão e informa em conformidade os outros Estados-Membros e a Comissão sobre a retirada. Sempre que a gravidade da violação o justifique, a carteira europeia de identidade digital em questão é imediatamente retirada.

4.    A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 6.º-D.

5.    No prazo de seis meses após a entrada em vigor do presente regulamento, a Comissão especifica mais pormenorizadamente as medidas referidas nos n.os 1 e 3 mediante um ato de execução relativo à implementação das carteiras europeias de identidade digital como previsto no artigo 6.º-A, n.º 10.»;

(12)É inserido o seguinte artigo 11.º-A:

«Artigo 11.º-A

Identificação única

1.    Quando os meios de identificação eletrónica notificados e as carteiras europeias de identidade digital forem utilizados para autenticação, os Estados-Membros asseguram uma identificação única.

2.    Para efeitos do presente regulamento, os Estados-Membros incluem no conjunto mínimo de dados de identificação pessoal a que se refere o artigo 12.º, n.º 4, alínea d), um identificador único e persistente em conformidade com a legislação da União, para identificar o utilizador a seu pedido nos casos em que a identificação do utilizador seja obrigatória por lei.

3.    No prazo de seis meses após a entrada em vigor do presente regulamento, a Comissão especifica mais pormenorizadamente as medidas referidas nos n.os 1 e 2 mediante um ato de execução relativo à implementação das carteiras europeias de identidade digital como previsto no artigo 6.º-A, n.º 10.»;

(13)O artigo 12.º é alterado do seguinte modo:

(a)No n.º 3, são suprimidas as alíneas c) e d);

(b)No n.º 4, a alínea d) passa a ter a seguinte redação:

«d)    A referência a um conjunto mínimo de dados de identificação necessários para representar de modo único e persistente uma pessoa singular ou coletiva;»;

(c)No n.º 6, a alínea a) passa a ter a seguinte redação:

«a)    O intercâmbio de informações, experiências e boas práticas relativamente aos sistemas de identificação eletrónica, nomeadamente no que respeita aos requisitos técnicos relacionados com a interoperabilidade, a identificação única e os níveis de garantia;»;

(14)É inserido o seguinte artigo 12.º-A:

«Artigo 12.º-A

Certificação de sistemas de identificação eletrónica

1.    A conformidade dos sistemas de identificação eletrónica notificados com os requisitos estabelecidos nos artigos 6.º-A, 8.º e 10.º pode ser certificada por entidades públicas ou privadas designadas pelos Estados-Membros.

2.    A avaliação pelos pares dos sistemas de identificação eletrónica a que se refere o artigo 12.º, n.º 6, alínea c), não se aplica aos sistemas de identificação eletrónica ou parte desses sistemas certificados em conformidade com o n.º 1. Os Estados-Membros podem utilizar um certificado ou uma declaração de conformidade da União emitidos de acordo com um sistema europeu de certificação da cibersegurança pertinente criado nos termos do Regulamento (UE) 2019/881 para demonstrar a conformidade desses sistemas com os requisitos estabelecidos no artigo 8.º, n.º 2, relativamente aos níveis de garantia dos sistemas de identificação eletrónica.

3.    Os Estados-Membros comunicam à Comissão a denominação e o endereço da entidade pública ou privada por eles designada, referida no n.º 1. A Comissão põe a informação à disposição dos Estados-Membros.»;

(15)A seguir ao artigo 12.º-A, é inserido o seguinte título:

«SECÇÃO III

RECURSO TRANSFRONTEIRIÇO A MEIOS DE IDENTIFICAÇÃO ELETRÓNICA»;

(16)São inseridos os seguintes artigos 12.º-B e 12.º-C:

«Artigo 12.º-B

Recurso transfronteiriço às carteiras europeias de identidade digital

1.    Sempre que, ao abrigo da legislação nacional ou nos termos da prática administrativa, os Estados-Membros exigirem uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação para aceder a um serviço em linha prestado por um organismo público, devem também aceitar as carteiras europeias de identidade digital emitidas em conformidade com o presente regulamento.

2.    Sempre que as partes utilizadoras privadas prestadoras de serviços forem obrigadas pela legislação nacional ou da União a utilizar autenticação forte do utilizador para identificação em linha, ou sempre que a autenticação forte do utilizador for exigida por obrigação contratual, nomeadamente nos domínios dos transportes, da energia, do serviços bancários e financeiros, da segurança social, da saúde, da água potável, dos serviços postais, das infraestruturas digitais, da educação ou das telecomunicações, as partes utilizadoras privadas devem também aceitar a utilização de carteiras europeias de identidade digital emitidas em conformidade com o artigo 6.º-A.

3.    Sempre que as plataformas de muito grande dimensão, conforme definidas no artigo 25.º, n.º 1, do Regulamento [referência Regulamento Serviços Digitais], exigirem que os utilizadores se autentiquem para aceder a serviços em linha, devem também aceitar a utilização de carteiras europeias de identidade digital emitidas de acordo com o artigo 6.º-A, estritamente mediante pedido voluntário do utilizador e respeitando os atributos mínimos necessários para o serviço em linha específico para o qual é pedida a autenticação, como a prova de idade.

4.    A Comissão encoraja e facilita a elaboração de códigos de conduta de autorregulação a nível da União («códigos de conduta»), a fim de contribuir para a ampla disponibilidade e usabilidade de carteiras europeias de identidade digital previstas no âmbito do presente regulamento. Esses códigos de conduta garantem a aceitação de meios de identificação eletrónica, incluindo as carteiras europeias de identidade digital previstas no âmbito do presente regulamento, em especial por parte dos prestadores de serviços que dependem de serviços de identificação eletrónica de terceiros para autenticar os utilizadores. A Comissão facilitará a elaboração desses códigos de conduta em estreita cooperação com todas as partes interessadas e incentivará os prestadores de serviços a concluírem a elaboração dos códigos de conduta no prazo de 12 meses a contar da adoção do presente regulamento e a aplicá-los efetivamente no prazo de 18 meses a contar da adoção do regulamento.

5.    Com base em dados que demonstram a disponibilidade e usabilidade das carteiras europeias de identidade digital, a Comissão avalia, no prazo de 18 meses após a sua implantação, se outros prestadores de serviços em linha privados devem ser obrigados a aceitar a utilização da carteira europeia de identidade digital estritamente mediante pedido voluntário do utilizador. Os critérios de avaliação podem incluir a dimensão da base de utilizadores, a presença transfronteiriça de prestadores de serviços, o desenvolvimento tecnológico ou a evolução dos padrões de utilização. Com base nesta avaliação, a Comissão fica habilitada a adotar atos delegados relativamente a uma revisão dos requisitos para o reconhecimento da carteira europeia de identidade digital previstos nos n.os 1 a 4 deste artigo.

6.    Para efeitos deste artigo, as carteiras europeias de identidade digital não estão sujeitas aos requisitos a que se referem os artigos 7.º e 9.º.

Artigo 12.º-C

Reconhecimento mútuo de outros meios de identificação eletrónica

1.    Sempre que para aceder a um serviço em linha prestado por um organismo público de um Estado-Membro, seja exigida, ao abrigo da legislação ou nos termos da prática administrativa nacional, uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação, o meio de identificação eletrónica produzido noutro Estado-Membro é reconhecido no primeiro Estado-Membro para efeitos de autenticação transfronteiriça para o referido serviço em linha, se estiverem reunidas as seguintes condições:

(a)O meio de identificação eletrónica ser produzido por um sistema de identificação eletrónica constante da lista referida no artigo 9.º;

(b)O nível de garantia do meio de identificação eletrónica corresponder a um nível de garantia igual ou superior ao exigido pelo organismo público em causa para aceder ao serviço em linha no Estado-Membro em questão e, em qualquer caso, não ser inferior ao nível de garantia «substancial»;

(c)O organismo público em causa no Estado-Membro em questão utilizar o nível de garantia «substancial» ou «elevado» para conceder acesso ao referido serviço em linha.

O reconhecimento é efetuado num prazo de seis meses após a Comissão ter publicado a lista a que se refere a alínea a) do primeiro parágrafo.

2.    O meio de identificação eletrónica produzido no âmbito de um sistema de identificação eletrónica constante da lista a que se refere o artigo 9.º e correspondente ao nível de garantia «baixo» pode ser reconhecido pelos organismos públicos para efeitos de autenticação transfronteiriça do serviço prestado em linha por esses mesmos organismos.»;

(17)No artigo 13.º, o n.º 1 passa a ter a seguinte redação:

«1.    Sem prejuízo do disposto no n.º 2, os prestadores de serviços de confiança respondem pelos danos causados deliberadamente ou por negligência a todas as pessoas singulares ou coletivas por incumprimento das obrigações previstas no presente regulamento e das obrigações relativas à gestão dos riscos de cibersegurança previstas no artigo 18.º da Diretiva XXXX/XXXX [Diretiva SRI 2].»;

(18)O artigo 14.º passa a ter a seguinte redação:

«Artigo 14.º

Aspetos internacionais

1.    A Comissão pode adotar atos de execução, em conformidade com o artigo 48.º, n.º 2, que estabeleçam as condições em que os requisitos de um país terceiro aplicáveis aos prestadores de serviços de confiança estabelecidos no seu território e aos serviços de confiança que prestam podem ser considerados equivalentes aos requisitos aplicáveis aos prestadores qualificados de serviços de confiança estabelecidos na União e aos serviços de confiança qualificados por si prestados.

2.    Sempre que a Comissão tiver adotado um ato de execução nos termos do n.º 1 ou celebrado um acordo internacional de reconhecimento mútuo de serviços de confiança em conformidade com o artigo 218.º do Tratado, os serviços de confiança prestados por prestadores estabelecidos no país terceiro em causa são considerados equivalentes aos serviços de confiança qualificados prestados por prestadores qualificados de serviços de confiança estabelecidos na União.»;

(19)O artigo 15.º passa a ter a seguinte redação:

«Artigo 15.º

Acessibilidade para as pessoas com deficiência

A prestação de serviços de confiança e os produtos de utilizador final utilizados na prestação desses serviços serão acessíveis às pessoas com deficiência em conformidade com os requisitos de acessibilidade constantes do anexo I da Diretiva (UE) 2019/882 relativa aos requisitos de acessibilidade dos produtos e serviços.»;

(20)O artigo 17.º é alterado do seguinte modo:

(a)O n.º 4 é alterado do seguinte modo:

(1)A alínea c) do n.º 4 passa a ter a seguinte redação:

«c)    Informar as autoridades nacionais competentes do Estado-Membro em causa, designadas nos termos da Diretiva (UE) XXXX/XXXX [SRI 2], sobre quaisquer violações significativas da segurança ou perdas de integridade de que tenham tido conhecimento no exercício das suas funções. Sempre que a violação significativa da segurança ou perda da integridade afete outros Estados-Membros, a entidade supervisora informa o ponto de contacto único do Estado-Membro em causa, designado nos termos da Diretiva (UE) XXXX/XXXX [SRI 2];»;

(2)A alínea f) passa a ter a seguinte redação:

«f)    Cooperar com as autoridades de controlo criadas nos termos do Regulamento (UE) 2016/679, nomeadamente informando-as sem demora indevida dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se tiverem sido violadas as regras de proteção dos dados pessoais, e sobre violações da segurança que constituam violações dos dados pessoais;»;

(b)O n.º 6 passa a ter a seguinte redação:

«6.    Até 31 de março de cada ano, as entidades supervisoras apresentam à Comissão um relatório sobre as principais atividades do ano anterior.»;

(c)O n.º 8 passa a ter a seguinte redação:

«8.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão especifica mais pormenorizadamente, por meio de atos de execução, as funções das autoridades de controlo a que se refere o n.º 4 e define os formatos e procedimentos aplicáveis ao relatório referido no n.º 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(21)O artigo 18.º é alterado do seguinte modo:

(a)O título do artigo 18.º passa a ter a seguinte redação:

«Assistência mútua e cooperação»;

(b)O n.º 1 passa a ter a seguinte redação:

«1.    As entidades supervisoras cooperam tendo em vista o intercâmbio de boas práticas e informações relativas à prestação de serviços de confiança.»;

(c)São aditados os seguintes n.os 4 e 5:

«4.    As entidades supervisoras e as autoridades nacionais competentes previstas na Diretiva (UE) XXXX/XXXX do Parlamento Europeu e do Conselho [SRI 2] cooperam e auxiliam-se mutuamente para assegurar que os prestadores de serviços de confiança cumprem os requisitos estabelecidos no presente regulamento e na Diretiva (UE) XXXX/XXXX [SRI 2]. A entidade supervisora solicita à autoridade nacional competente prevista na Diretiva XXXX/XXXX [SRI 2] que realize ações de supervisão para verificar se os prestadores de serviços de confiança cumprem os requisitos previstos na Diretiva XXXX/XXXX (SRI 2), que exija aos prestadores de serviços de confiança que sanem todos os incumprimentos desses requisitos, que transmita oportunamente os resultados de todas as atividades de supervisão associadas a prestadores de serviços de confiança e que informe as entidades supervisoras sobre incidentes relevantes notificados de acordo com a Diretiva XXXX/XXXX [SRI 2].

5.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, as necessárias modalidades processuais de facilitação da cooperação entre as autoridades supervisoras a que se refere o n.º 1.»;

(22)O artigo 20.º é alterado do seguinte modo:

(a)O n.º 1 passa a ter a seguinte redação:

«1.    Os prestadores qualificados de serviços de confiança são auditados, pelo menos de 24 em 24 meses, a expensas suas, por um organismo de avaliação da conformidade. A auditoria deve confirmar que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança qualificados que prestam cumprem os requisitos estabelecidos pelo presente regulamento e pelo artigo 18.º da Diretiva (UE) XXXX/XXXX [SRI 2]. Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora no prazo de três dias úteis depois de o terem recebido.»;

(b)No n.º 2, a última frase passa a ter a seguinte redação:

«Em caso de suspeita de violação das regras de proteção de dados pessoais, a entidade supervisora informa as autoridades de controlo previstas no Regulamento (UE) 2016/679 dos resultados das suas auditorias.»;

(c)Os n.os 3 e 4 passam a ter a seguinte redação:

«3.    Se o prestador qualificado de serviços de confiança não cumprir algum dos requisitos estabelecidos pelo presente regulamento, a entidade supervisora exige-lhe que corrija a situação num prazo determinado, se aplicável.

Se o prestador não corrigir a situação no prazo fixado pela entidade supervisora, se aplicável, esta pode, tendo em conta, nomeadamente, a extensão, a duração e as consequências desse incumprimento, retirar o estatuto de qualificado ao prestador ou ao serviço em questão por ele prestado e, pedir-lhe que cumpra, num prazo determinado, se aplicável, os requisitos da Diretiva XXXX/XXXX [SRI 2]. A entidade supervisora informa a entidade a que se refere o artigo 22.º, n.º 3, para efeitos de atualização das listas de confiança referidas no artigo 22.º, n.º 1.

A entidade supervisora informa o prestador qualificado de serviços de confiança da retirada do seu estatuto de qualificado ou do estatuto de qualificado do serviço em causa.

4.    No prazo de 12 meses após a entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas aplicáveis:

(a)À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.º 1;

(b)Aos requisitos de auditoria segundo os quais os organismos de avaliação da conformidade efetuam a avaliação da conformidade dos prestadores qualificados de serviços de confiança a que se refere o n.º 1;

(c)Aos sistemas de avaliação da conformidade utilizados pelos organismos de avaliação da conformidade para realizar a avaliação da conformidade dos prestadores qualificados de serviços de confiança e para a apresentação do relatório da avaliação da conformidade a que se refere o n.º 1.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(23)O artigo 21.º é alterado do seguinte modo:

(a)O n.º 2 passa a ter a seguinte redação:

«2.    A entidade supervisora verifica se o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento, designadamente os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados.

A fim de verificar se o prestador de serviços de confiança cumpre os requisitos estabelecidos no artigo 18.º da Diretiva XXXX [SRI 2], a entidade supervisora solicita às autoridades competentes a que se refere a Diretiva XXXX [SRI 2] que realizem ações de supervisão nesse sentido e prestem informações sobre o resultado no prazo de três dias a contar da sua conclusão.

Se a entidade supervisora concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos a que se refere o primeiro parágrafo, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.º, n.º 3, para efeitos de atualização das listas de confiança referidas no artigo 22.º, n.º 1, o mais tardar três meses após a notificação feita nos termos do n.º 1 do presente artigo.

Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.»;

(b)O n.º 4 passa a ter a seguinte redação:

«4.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão define, por meio de atos de execução, os formatos e procedimentos de notificação e verificação para efeitos do disposto nos n.os 1 e 2 deste artigo. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(24)Ao artigo 23.º, é aditado o seguinte n.º 2-A:

«2-A.    Os n.os 1 e 2 também são aplicáveis aos prestadores de serviços de confiança estabelecidos em países terceiros e aos serviços por eles prestados, contanto que tenham sido reconhecidos na União em conformidade com o artigo 14.º.»;

(25)O artigo 24.º é alterado do seguinte modo:

(a)O n.º 1 passa a ter a seguinte redação:

«1.    Ao emitirem certificados qualificados ou certificados eletrónicos qualificados de atributos referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam a identidade e, se aplicável, as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado ou o certificado eletrónico qualificado de atributos.

As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança, pelos seus próprios meios ou recorrendo a um terceiro, de uma das seguintes formas:

(a)Através de um meio de identificação eletrónica notificado que satisfaça os requisitos estabelecidos no artigo 8.º no que diz respeito aos níveis de garantia «substancial» ou «elevado»;

(b)Por meio de certificados eletrónicos qualificados de atributos, de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitidos nos termos das alíneas a), b), c) ou d);

(c)Utilizando outros métodos de identificação que garantam a identificação da pessoa singular com um elevado nível de confiança, cuja conformidade será confirmada por um organismo de avaliação da conformidade;

(d)Através da presença física da pessoa singular ou de um representante autorizado da pessoa coletiva mediante procedimentos adequados e em conformidade com a legislação nacional, se não estiverem disponíveis outros meios.»;

(b)É inserido o seguinte n.º 1-A:

«1-A.    No prazo de 12 meses após a entrada em vigor do presente Regulamento, a Comissão estabelece, por meio de atos de execução, especificações técnicas mínimas, normas e procedimentos no atinente à verificação da identidade e dos atributos em conformidade com o n.º 1, alínea c). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(c)O n.º 2 é alterado do seguinte modo:

(1)A alínea d) passa a ter a seguinte redação:

«d)    Antes de estabelecerem uma relação contratual, informam, de forma clara, completa e facilmente acessível, num espaço acessível ao público e individualmente, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização;»;

(2)São inseridas as seguintes novas alíneas f-A) e f-B):

«f-A)    Dispõem de políticas adequadas e tomam as medidas correspondentes para gerir riscos jurídicos, comerciais, operacionais e outros riscos diretos ou indiretos relacionados com a prestação de serviços de confiança qualificados. Não obstante o disposto no artigo 18.º da Diretiva (UE) XXXX/XXXX [SRI 2], essas medidas incluem, no mínimo, o seguinte:

i) medidas relacionadas com os procedimentos de registo e integração num serviço,

ii) medidas relacionadas com controlos processuais ou administrativos,

iii) medidas relacionadas com a gestão e implementação de serviços;

f-B)    Notificam a entidade supervisora e, quando aplicável, outras entidades relevantes sobre quaisquer violações conexas ou perturbações na aplicação das medidas a que se refere a alínea f-A), subalíneas i), ii) e iii), que tenham um impacto significativo no serviço de confiança prestado ou nos dados pessoais por ele conservados;»;

(3)As alíneas g) e h) passam a ter a seguinte redação:

«g)    Tomam as medidas adequadas para prevenir a falsificação, o roubo ou a apropriação indevida dos dados ou o apagamento, a alteração ou o tornar inacessíveis dados, na ausência de direito para tal;

h)    Registam e mantêm acessíveis durante o tempo que for necessário depois de o prestador qualificado de serviços de confiança ter deixado de prestar esses serviços, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito eletronicamente;»;

(4)É suprimida a alínea j);

(d)É inserido o seguinte n.º 4-A:

«4-A.    Os n.os 3 e 4 aplicam-se em conformidade à revogação de certificados eletrónicos de atributos.»;

(e)O n.º 5 passa a ter a seguinte redação:

«5.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas relativas aos requisitos a que se refere o n.º 2. Os sistemas e produtos fiáveis conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos neste artigo. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(f)É inserido o seguinte n.º 6:

«6.    A Comissão fica habilitada a adotar atos delegados relativos às medidas adicionais referidas no n.º 2, alínea f-A).»;

(26)No artigo 28.º, o n.º 6 passa a ter a seguinte redação:

«6.    No prazo de 12 meses após a entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas relativas aos certificados qualificados de assinatura eletrónica. Os certificados qualificados de assinatura eletrónica conformes com as referidas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo I. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(27)Ao artigo 29.º, é aditado o seguinte n.º 1-A:

«1-A.    A geração, gestão e duplicação de dados para a criação de uma assinatura eletrónica em nome do signatário só podem ser efetuadas por um prestador qualificado de serviços de confiança que ofereça um serviço de confiança qualificado para a gestão de um dispositivo qualificado de criação de assinaturas eletrónicas à distância.»;

(28)É inserido o seguinte artigo 29.º-A:

«Artigo 29.º-A

Requisitos aplicáveis a um serviço qualificado para a gestão de dispositivos de criação de assinaturas eletrónicas à distância

1.    A gestão de dispositivos qualificados de criação de assinaturas eletrónicas à distância enquanto serviço qualificado só pode ser realizada por um prestador qualificado de serviços de confiança que:

(a)Proceda à geração ou à gestão de dados para a criação de uma assinatura eletrónica em nome do signatário;

(b)Sem prejuízo do ponto 1, alínea d), do anexo II, duplique os dados para a criação de uma assinatura eletrónica apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:

A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;

O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.

(c)Cumpra todos os requisitos identificados no relatório de certificação do dispositivo qualificado de criação de assinaturas eletrónicas à distância emitido nos termos do artigo 30.º.

2.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, as especificações técnicas e os números de referência das normas para efeitos do disposto no n.º 1.»;

(29)No artigo 30.º, é inserido o seguinte n.º 3-A:

«3-A.    A certificação a que se refere o n.º 1 é válida pelo período de cinco anos, e sujeita a uma avaliação periódica das vulnerabilidades a cada dois anos. Sempre que sejam identificadas vulnerabilidades e as mesmas não sejam sanadas, a certificação é retirada.»;

(30)No artigo 31.º, o n.º 3 passa a ter a seguinte redação:

«3.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão define, por meio de atos de execução, os formatos e os procedimentos aplicáveis para efeitos do disposto no n.º 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(31)O artigo 32.º é alterado do seguinte modo:

(a)Ao n.º 1, é aditado o seguinte parágrafo:

«A validação de assinaturas eletrónicas qualificadas que seja conforme com as normas referidas no n.º 3 beneficia da presunção de conformidade com os requisitos estabelecidos no primeiro parágrafo.»;

(b)O n.º 3 passa a ter a seguinte redação:

«3.    No prazo de 12 a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas para a validação de assinaturas eletrónicas qualificadas. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(32)O artigo 34.º passa a ter a seguinte redação:

«Artigo 34.º

Serviço qualificado de preservação de assinaturas eletrónicas qualificadas

1.    Os serviços de preservação de assinaturas eletrónicas qualificadas só podem ser prestados por prestadores qualificados de serviços de confiança que utilizem procedimentos e tecnologias capazes de prolongar a fiabilidade das assinaturas eletrónicas qualificadas para além do prazo de validade tecnológica.

2.    As disposições aplicáveis ao serviço qualificado de preservação de assinaturas eletrónicas qualificadas que sejam conformes com as normas referidas no n.º 3 beneficiam da presunção de conformidade com os requisitos estabelecidos no n.º 1.

3.    No prazo de 12 a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas para o serviço qualificado de preservação de assinaturas eletrónicas qualificadas. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(33)O artigo 37.º é alterado do seguinte modo:

(a)É inserido o seguinte n.º 2-A:

«2-A.    Os selos eletrónicos avançados conformes com as normas referidas no n.º 4 beneficiam da presunção de conformidade com os requisitos para selos eletrónicos avançados a que se refere o no artigo 36.º e no n.º 5 deste artigo.»;

(b)O n.º 4 passa a ter a seguinte redação:

«4.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas relativas aos selos eletrónicos avançados. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(34)O artigo 38.º é alterado do seguinte modo:

(a)O n.º 1 passa a ter a seguinte redação:

«1.    Os certificados qualificados de selos eletrónicos cumprem os requisitos estabelecidos no anexo III. Os certificados qualificados de selos eletrónicos que sejam conformes com normas referidas no n.º 6 beneficiam da presunção de conformidade com os requisitos estabelecidos no anexo III.»;

(b)O n.º 6 passa a ter a seguinte redação:

«6.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas relativas aos certificados qualificados de selos eletrónicos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(35)É inserido o seguinte artigo 39.º-A:

«Artigo 39.º-A

Requisitos aplicáveis a um serviço qualificado para a gestão de dispositivos de criação de selos eletrónicos à distância

O artigo 29.º-A aplica-se mutatis mutandis a um serviço qualificado para a gestão de dispositivos de criação de selos eletrónicos à distância.»;

(36)O artigo 42.º é alterado do seguinte modo:

(a)É inserido o seguinte novo n.º 1-A:

«1-A.    A vinculação da data e da hora aos dados e à fonte horária exata que sejam conformes com as normas referidas no n.º 2 beneficiam da presunção de conformidade com os requisitos estabelecidos no n.º 1.»;

(b)O n.º 2 passa a ter a seguinte redação:

«2.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas relativas à vinculação da data e da hora aos dados e às fontes horárias precisas. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(37)O artigo 44.º é alterado do seguinte modo:

(a)É inserido o seguinte n.º 1-A:

«1-A.    O processo de envio e receção de dados que esteja conforme com as normas referidas no n.º 2 beneficia da presunção de conformidade com os requisitos estabelecidos no n.º 1.»;

(b)O n.º 2 passa a ter a seguinte redação:

«2.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas para os processos de envio e receção de dados. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(38)O artigo 45.º passa a ter a seguinte redação:

«Artigo 45.º

Requisitos aplicáveis aos certificados qualificados de autenticação de sítios Web

1.    Os certificados qualificados de autenticação de sítios Web cumprem os requisitos estabelecidos no anexo IV. Considera-se que os certificados qualificados de autenticação de sítios Web são conformes com os requisitos estabelecidos no anexo IV quando satisfazem as normas referidas no n.º 3.

2.    Os certificados qualificados de autenticação de sítios Web a que se refere o n.º 1 devem ser reconhecidos pelos navegadores Web. Para o efeito, os navegadores Web garantem que os dados de identidade fornecidos utilizando qualquer um dos métodos são apresentados de um modo fácil de consultar. Os navegadores Web asseguram a compatibilidade e a interoperabilidade com os certificados qualificados de autenticação de sítios Web a que se refere o n.º 1. Esta disposição não se aplica às empresas consideradas microempresas e pequenas empresas em conformidade com a Recomendação 2003/361/CE da Comissão, durante os primeiros cinco anos de atividade como prestadores de serviços de navegação Web.

3.    No prazo de 12 meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, as especificações e os números de referência das normas relativas aos certificados qualificados de autenticação de sítios Web a que se refere o n.º 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(39)Após o artigo 45.º, são inseridas as seguintes secções 9, 10 e 11:

«SECÇÃO 9

CERTIFICADO ELETRÓNICO DE ATRIBUTOS

Artigo 45.º-A

Efeitos legais do certificado eletrónico de atributos

1.    Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um certificado eletrónico de atributos pelo simples facto de se apresentar em formato eletrónico.

2.    Um certificado eletrónico qualificado de atributos tem os mesmos efeitos legais dos certificados legalmente emitidos em suporte de papel.

3.    O certificado eletrónico qualificado de atributos emitido num Estado-Membro é reconhecido como certificado eletrónico qualificado de atributos em qualquer outro Estado-Membro.

Artigo 45.º-B

Certificado eletrónico de atributos em serviços públicos

Quando a legislação nacional exigir uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação para aceder a um serviço em linha prestado por um organismo público, os dados de identificação pessoal constantes do certificado eletrónico de atributos não substituem a identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação para fins de identificação eletrónica, salvo se especificamente autorizado pelo Estado-Membro ou o organismo público. Nesse caso, os certificados eletrónicos qualificados de atributos de outros Estados-Membros também são aceites.

Artigo 45.º-C

Requisitos aplicáveis ao certificado qualificado de atributos

1.    O certificado eletrónico qualificado de atributos satisfaz os requisitos estabelecidos no anexo V. Um certificado eletrónico qualificado de atributos é considerado conforme com os requisitos estabelecidos no anexo V, se satisfizer as normas a que se refere o n.º 4.

2.    Os certificados eletrónicos qualificados de atributos não podem estar sujeitos a requisitos obrigatórios para além dos requisitos estabelecidos no anexo V.

3.    Sempre que os certificados eletrónicos qualificados de atributos tenham sido revogados após a emissão inicial perdem a validade a partir do momento da revogação, não podendo o seu estatuto ser revertido, em nenhuma circunstância.

4.    No prazo de seis meses a contar da entrada em vigor do presente regulamento, a Comissão estabelece os números de referência das normas relativas aos certificados eletrónicos qualificados de atributos, mediante um ato de execução relativo à implementação das carteiras europeias de identidade digital a que se refere o artigo 6.º-A, n.º 10.

Artigo 45.º-D

Verificação de atributos por confronto com fontes autênticas

1.    Os Estados-Membros asseguram que, pelo menos em relação aos atributos enumerados no anexo VI, sempre que esses atributos se baseiem em fontes autênticas do setor público, são adotadas medidas que permitam aos prestadores qualificados de certificados eletrónicos de atributos verificar a autenticidade do atributo com recurso a meios eletrónicos, mediante pedido do utilizador, comparando-o diretamente com a fonte autêntica pertinente a nível nacional ou através de intermediários designados reconhecidos a nível nacional em conformidade com a legislação nacional ou da União.

2.    No prazo de seis meses a contar da entrada em vigor do presente regulamento, tendo em conta as normas internacionais aplicáveis, a Comissão estabelece as especificações técnicas mínimas, as normas e os procedimentos no que respeita ao catálogo de atributos, aos sistemas de certificação de atributos e aos procedimentos de verificação referentes aos certificados eletrónicos qualificados de atributos mediante um ato de execução relativo à implementação das carteiras europeias de identidade digital a que se refere o artigo 6.º-A, n.º 10.

Artigo 45.º-E

Emissão de certificados eletrónico de atributos para as carteiras europeias de identidade digital

Os fornecedores de certificados eletrónicos qualificados de atributos facultam uma interface com as carteiras europeias de identidade digital emitidas nos termos do artigo 6.º-A.

Artigo 45.º-F

Regras adicionais para a prestação de serviços de certificados eletrónicos de atributos

1.    Os prestadores de serviços de certificados eletrónicos qualificados e não qualificados de atributos não combinam dados pessoais relacionados com a prestação desses serviços com dados pessoais de quaisquer outros serviços que prestem.

2.    Os dados pessoais relacionados com a prestação de serviços de certificados eletrónicos de atributos são logicamente mantidos separados de outros dados detidos.

3.    Os dados pessoais relacionados com a prestação de serviços relativos aos certificados eletrónicos qualificados de atributos são mantidos física e logicamente separados de outros dados detidos.

4.    Os prestadores de serviços de certificados eletrónicos qualificados de atributos prestam esses serviços através de uma entidade jurídica distinta.

SECÇÃO 10

SERVIÇOS QUALIFICADOS DE ARQUIVO ELETRÓNICO

Artigo 45.º-G

Serviços qualificados de arquivo eletrónico

Os serviços qualificados de arquivo eletrónico para documentos eletrónicos só podem ser prestados por prestadores qualificados de serviços de confiança que utilizem procedimentos e tecnologias capazes de prolongar a fiabilidade dos documentos eletrónicos para além do prazo de validade tecnológica.

No prazo de 12 meses após a entrada em vigor do presente regulamento, a Comissão estabelece, por meio de atos de execução, os números de referência das normas relativas aos serviços de arquivo eletrónico. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2

SECÇÃO 11

LIVROS-RAZÃO ELETRÓNICOS

Artigo 45.º-H

Efeitos legais dos livros-razão eletrónicos

1.    Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um livro-razão eletrónico pelo simples facto de se apresentar em formato eletrónico ou de não cumprir os requisitos dos livros-razão eletrónicos qualificados.

2.    Um livro-razão eletrónico qualificado beneficia da presunção da singularidade e autenticidade dos dados que contém, da exatidão da respetiva data e hora e da sua ordem cronológica sequencial no livro-razão.

Artigo 45.º-I

Requisitos aplicáveis aos livros-razão eletrónicos qualificados

1. Os livros-razão eletrónicos qualificados cumprem os seguintes requisitos:

(a)Serem criados por um ou mais prestadores qualificados de serviços de confiança;

(b)Assegurarem a singularidade, a autenticidade e a correta sequenciação das entradas de dados registadas no livro-razão;

(c)Assegurarem a ordem cronológica sequencial correta dos dados contidos no livro-razão e a exatidão da data e hora da entrada de dados;

(d)Registarem dados de forma a que qualquer alteração subsequente dos mesmos seja imediatamente detetável.

2.    Os livros-razão eletrónicos que sejam conformes com as normas referidas no n.º 3 beneficiam da presunção de conformidade com os requisitos estabelecidos no n.º 1.

3.    A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos processos de execução e registo de um conjunto de dados num livro-razão eletrónico qualificado e à criação do mesmo. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.»;

(40)É inserido o seguinte artigo 48.º-A:

«Artigo 48.º-A

Requisitos de prestação de informações

1.    Os Estados-Membros asseguram a recolha de estatísticas relativas ao funcionamento das carteiras europeias de identidade digital e dos serviços de confiança qualificados.

2.    As estatísticas recolhidas em conformidade com o disposto no n.º 1 incluem o seguinte:

(a)O número de pessoas singulares e coletivas que têm uma carteira europeia de identidade digital válida;

(b)O tipo e número de serviços que aceitam a utilização da carteira europeia digital;

(c)Os incidentes e o período de inatividade da infraestrutura a nível nacional que tenham impedido a utilização de aplicações de carteira de identidade digital.

3.    As estatísticas a que se refere o n.º 2 são postas à disposição do público num formato aberto, de uso corrente e legível por máquina.

4.    Até março de cada ano, os Estados-Membros apresentam à Comissão um relatório relativo às estatísticas recolhidas em conformidade com o disposto no n.º 2.»;

(41)O artigo 49.º passa a ter a seguinte redação:

«Artigo 49.º

Revisão

1.    A Comissão analisa a aplicação do presente regulamento e apresenta um relatório ao Parlamento Europeu e ao Conselho no prazo de 24 meses após a sua entrada em vigor. A Comissão avalia nomeadamente se é adequado modificar o âmbito do presente regulamento ou as suas disposições especiais, tendo em conta a experiência adquirida na aplicação do presente regulamento, bem como a evolução da tecnologia, do mercado e da legislação. Se necessário, o relatório é acompanhado de uma proposta de alteração do presente regulamento.

2.    O relatório de avaliação inclui uma avaliação da disponibilidade e usabilidade dos meios de identificação, incluindo as carteiras europeias de identidade digital previstas no âmbito do presente regulamento e afere se todos os prestadores privados de serviços em linha que dependem de serviços de identificação eletrónica de terceiros para a autenticação de utilizadores devem ser obrigados a aceitar a utilização dos meios de identificação eletrónica notificados e da carteira europeia de identidade digital.

3.    Além disso, a intervalos de quatro anos a contar do relatório a que se refere o primeiro parágrafo, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a realização dos objetivos do presente regulamento.»;

(42)O artigo 51.º passa a ter a seguinte redação:

«Artigo 51.º

Medidas transitórias

1.    Os dispositivos seguros de criação de assinaturas cuja conformidade tenha sido determinada nos termos do artigo 3.º, n.º 4, da Diretiva 1999/93/CE continuam a ser considerados dispositivos qualificados de criação de assinaturas eletrónicas na aceção do presente regulamento até [data – JO inserir período de quatro anos após a entrada em vigor do presente regulamento].

2.    Os certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE continuam a ser considerados certificados qualificados de assinatura eletrónica na aceção do presente regulamento até [data – SP: inserir período de quatro anos após a entrada em vigor do presente regulamento].».

(43)O anexo I é alterado em conformidade com o anexo I do presente regulamento;

(44)O anexo II é substituído pelo texto constante do anexo II do presente regulamento;

(45)O anexo III é alterado em conformidade com o anexo III do presente regulamento;

(46)O anexo IV é alterado em conformidade com o anexo IV do presente regulamento;

(47)É aditado um novo anexo V, cujo texto consta do anexo V do presente regulamento;

(48)É aditado um novo anexo VI ao presente regulamento.

Artigo 2.º

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em

FICHA FINANCEIRA LEGISLATIVA

1.CONTEXTO DA PROPOSTA/INICIATIVA 

1.1.Denominação da proposta/iniciativa

1.2.Domínio(s) de intervenção abrangido(s) 

1.3.A proposta/iniciativa refere-se a: 

 uma nova ação 

 uma nova ação na sequência de um projeto-piloto/ação preparatória 28  

uma prorrogação de uma ação existente 

 fusão ou reorientação de uma ou mais ações para outra/nova ação 

1.4.Objetivo(s)

1.4.1.Objetivo(s) geral(ais)

1.4.2.Objetivo(s) específico(s)

1.4.3.Resultados e impacto esperados

Especificar os efeitos que a proposta/iniciativa poderá ter nos beneficiários/na população visada.

1.4.4.Indicadores de resultados

Especificar os indicadores que permitem acompanhar os progressos e os resultados.

1.5.Justificação da proposta/iniciativa 

1.5.1.Necessidade(s) a satisfazer a curto ou a longo prazo, incluindo um calendário pormenorizado de aplicação da iniciativa

1.5.2.Valor acrescentado da intervenção da União (que pode resultar de diferentes fatores, como, por exemplo, ganhos de coordenação, segurança jurídica, maior eficácia ou complementaridades). Para efeitos do presente ponto, entende-se por «valor acrescentado da intervenção da União» o valor resultante da intervenção da União que se acrescenta ao valor que teria sido criado pelos Estados-Membros de forma isolada.

1.5.3.Ensinamentos retirados de experiências anteriores semelhantes

1.5.4.Compatibilidade com o quadro financeiro plurianual e eventuais sinergias com outros instrumentos adequados

1.5.5.Avaliação das diferentes opções de financiamento disponíveis, incluindo possibilidades de reafetação

1.6.Duração e impacto financeiro da proposta/iniciativa

 duração limitada

    válida entre [DD/MM]AAAA e [DD/MM]AAAA

    Impacto financeiro no período compreendido entre AAAA e AAAA para as dotações de autorização e entre AAAA a AAAA para as dotações de pagamento

 duração ilimitada

Aplicação com um período de arranque progressivo entre AAAA e AAAA,

seguido de um período de aplicação a um ritmo de cruzeiro.

1.7.Modalidade(s) de gestão prevista(s) 29  

 Gestão direta pela Comissão

 pelos seus serviços, incluindo pelo seu pessoal nas delegações da União;

    pelas agências de execução

 Gestão partilhada com os Estados-Membros

 Gestão indireta confiando tarefas de execução orçamental:

 a países terceiros ou a organismos por estes designados;

 a organizações internacionais e respetivas agências (a especificar);

 ao BEI e ao Fundo Europeu de Investimento;

 aos organismos referidos nos artigos 70.º e 71.º do Regulamento Financeiro;

 a organismos de direito público;

 a organismos regidos pelo direito privado com uma missão de serviço público desde que prestem garantias financeiras adequadas;

 a organismos regidos pelo direito privado de um Estado-Membro com a responsabilidade pela execução de uma parceria público-privada e que prestem garantias financeiras adequadas;

 a pessoas encarregadas da execução de ações específicas no quadro da PESC por força do título V do Tratado da União Europeia, identificadas no ato de base pertinente.

Se assinalar mais de uma modalidade de gestão, queira especificar na secção «Observações».

Observações

2.MEDIDAS DE GESTÃO 

2.1.Disposições em matéria de acompanhamento e prestação de informações 

Especificar a periodicidade e as condições.

2.2.Sistema(s) de gestão e de controlo 

2.2.1.Justificação da(s) modalidade(s) de gestão, do(s) mecanismo(s) de execução do financiamento, das modalidades de pagamento e da estratégia de controlo propostos

2.2.2.Informações sobre os riscos identificados e o(s) sistema(s) de controlo interno criado(s) para os atenuar

2.2.3.Estimativa e justificação da relação custo-eficácia dos controlos (rácio «custos de controlo/valor dos respetivos fundos geridos») e avaliação dos níveis previstos de risco de erro (no pagamento e no encerramento) 

2.3.Medidas de prevenção de fraudes e irregularidades 

Especificar as medidas de prevenção e de proteção existentes ou previstas, por exemplo, da estratégia antifraude.

3.IMPACTO FINANCEIRO ESTIMADO DA PROPOSTA/INICIATIVA 

3.1.Rubrica(s) do quadro financeiro plurianual e rubrica(s) orçamental(ais) de despesas envolvida(s) 

Atuais rubricas orçamentais

Segundo a ordem das rubricas do quadro financeiro plurianual e das respetivas rubricas orçamentais.

Novas rubricas orçamentais, cuja criação é solicitada

Segundo a ordem das rubricas do quadro financeiro plurianual e das respetivas rubricas orçamentais.

3.2.Impacto financeiro estimado da proposta nas dotações 

3.2.1.Síntese do impacto estimado nas dotações operacionais 

    A proposta/iniciativa não acarreta a utilização de dotações operacionais

    A proposta/iniciativa acarreta a utilização de dotações operacionais, tal como explicitado seguidamente:

Em milhões de EUR (três casas decimais)

DG: CNECT				Ano  2022	Ano  2023	Ano  2024	Ano  2025	Ano  2026	Ano  2027		TOTAL
□ Dotações operacionais					A afetação do orçamento será decidida durante a formulação dos programas de trabalho. Os números indicados correspondem ao mínimo necessário para manutenção e atualização 33 .
Rubrica orçamental 34 02 04 05	Autorizações	(1a)		2,000	4,000	4,000	4,000	4,000	4,000		22,000
	Pagamentos	(2a)		1,000	3,000	4,000	4,000	4,000	4,000	2,000	22,000
Rubrica orçamental	Autorizações	(1b)
	Pagamentos	(2b)
Dotações de natureza administrativa financiadas a partir da dotação de programas específicos 35
Rubrica orçamental 02 01 03 01		(3)		0,048	0,144	0,144	0,072	0,072	0,072		0,552
TOTAL das dotações  para a DG CNECT	Autorizações	=1a+1b +3		2,048	4,144	4,144	4,072	4,072	4,072		22,552
	Pagamentos	=2a+2b +3		1,048	3,144	4,144	4,072	4,072	4,072	2,000	22,552

Esta secção deve ser preenchida com «dados orçamentais de natureza administrativa» a inserir em primeiro lugar no anexo da ficha financeira legislativa (anexo V das regras internas), que é carregada no DECIDE para efeitos das consultas interserviços.

Em milhões de EUR (três casas decimais)

TOTAL das dotações  da RUBRICA 7  do quadro financeiro plurianual

(Total das autorizações = total dos pagamentos)

0,782

1,557

1,557

1,557

1,486

1,334

8,273

Em milhões de EUR (três casas decimais)

3.2.2.Estimativa das realizações financiadas com dotações operacionais 

Dotações de autorização em milhões de EUR (três casas decimais)

3.2.3.Síntese do impacto estimado nas dotações administrativas 

    A proposta/iniciativa não acarreta a utilização de dotações de natureza administrativa

    A proposta/iniciativa acarreta a utilização de dotações de natureza administrativa, tal como explicitado seguidamente:

Em milhões de EUR (três casas decimais)

RUBRICA 7  do quadro financeiro plurianual
Recursos humanos	0,776	1,470	1,470	1,470	1,470	1,318	7,974
Outras despesas administrativas	0,006	0,087	0,087	0,087	0,0162	0,0162	0,299
Subtotal RUBRICA 7  do quadro financeiro plurianual	0,782	1,557	1,557	1,557	1,486	1,334	8,273

Com exclusão da RUBRICA 7 38   do quadro financeiro plurianual
Recursos humanos
Outras despesas  de natureza administrativa Imputar os custos administrativos ao PED	0,048	0,144	0,144	0,072	0,072	0,072	0,552
Subtotal  com exclusão da RUBRICA 7  do quadro financeiro plurianual	0,048	0,144	0,144	0,072	0,072	0,072	0,552

TOTAL

0,830

1,701

1,701

1,629

1,558

1,406

8,825

As dotações relativas aos recursos humanos e outras despesas administrativas necessárias serão cobertas pelas dotações da DG já afetadas à gestão da ação e/ou reafetadas na DG e, se necessário, pelas eventuais dotações adicionais que sejam concedidas à DG gestora no âmbito do processo de afetação anual e atendendo às restrições orçamentais.

3.2.4.Necessidades estimadas de recursos humanos

    A proposta/iniciativa não acarreta a utilização de recursos humanos

    A proposta/iniciativa acarreta a utilização de recursos humanos, tal como explicitado seguidamente:

As estimativas devem ser expressas em termos de equivalente a tempo completo

XX constitui o domínio de intervenção ou o título orçamental em causa.

As necessidades de recursos humanos serão cobertas pelos efetivos da DG já afetados à gestão da ação e/ou reafetados internamente a nível da DG, complementados, caso necessário, por eventuais dotações adicionais que sejam atribuídas à DG gestora no quadro do processo anual de atribuição e no limite das disponibilidades orçamentais.

Descrição das tarefas a executar:

3.2.5.Compatibilidade com o atual quadro financeiro plurianual 

A proposta/iniciativa:

    pode ser integralmente financiada por meio da reafetação de fundos no quadro da rubrica pertinente do quadro financeiro plurianual (QFP)

    requer o recurso à margem não afetada na rubrica em causa do QFP e/ou o recurso aos instrumentos especiais definidos no regulamento QFP

    implica uma revisão do QFP

3.2.6.Participação de terceiros no financiamento 

A proposta/iniciativa:

    não prevê o cofinanciamento por terceiros

    prevê o cofinanciamento por terceiros, a seguir estimado:

Dotações em milhões de EUR (três casas decimais)

3.3.Impacto estimado nas receitas 

    A proposta/iniciativa não tem impacto financeiro nas receitas

    A proposta/iniciativa tem o impacto financeiro a seguir descrito:

    nos recursos próprios

    noutras receitas

Indicar se as receitas são afetadas a rubricas de despesas     

Em milhões de EUR (três casas decimais)

Relativamente às receitas afetadas, especificar a(s) rubrica(s) orçamental(ais) de despesas envolvida(s).

Outras observações (p. ex., método/fórmula utilizado/a para o cálculo do impacto sobre as receitas ou qualquer outra informação).

ANEXO 
da FICHA FINANCEIRA LEGISLATIVA

Denominação da proposta/iniciativa:

1.NÚMERO e CUSTO dos RECURSOS HUMANOS CONSIDERADOS NECESSÁRIOS

2.CUSTO de OUTRAS DESPESAS DE NATUREZA ADMINISTRATIVA

3.TOTAL DOS CUSTOS ADMINISTRATIVOS

4.MÉTODOS de CÁLCULO UTILIZADOS para ESTIMAR os CUSTOS

4.1.Recursos humanos

4.2.Outras despesas administrativas

(1)Custo dos recursos humanos considerados necessários

    A proposta/iniciativa não acarreta a utilização de recursos humanos

    A proposta/iniciativa acarreta a utilização de recursos humanos, tal como explicitado seguidamente:

Em milhões de EUR (três casas decimais)

4.3.As necessidades de recursos humanos serão cobertas pelos efetivos da DG já afetados à gestão da ação e/ou reafetados internamente a nível da DG, complementados, caso necessário, por eventuais dotações adicionais que sejam atribuídas à DG gestora no quadro do processo anual de atribuição e no limite das disponibilidades orçamentais.

4.4.

4.5.

As necessidades de recursos humanos serão cobertas pelos efetivos da DG já afetados à gestão da ação e/ou reafetados internamente a nível da DG, complementados, caso necessário, por eventuais dotações adicionais que sejam atribuídas à DG gestora no quadro do processo anual de atribuição e no limite das disponibilidades orçamentais.

4.6.Custo de outras despesas de natureza administrativa

4.7.A proposta/iniciativa não acarreta a utilização de dotações de natureza administrativa

4.8.A proposta/iniciativa requer a utilização de dotações de natureza administrativa, tal como explicitado seguidamente:

Em milhões de EUR (três casas decimais)

Em milhões de EUR (três casas decimais)

5.Total custos administrativos (todas as rubricas do QFP)

Em milhões de EUR (três casas decimais)

(1)As dotações administrativas necessárias serão cobertas por dotações já afetadas à gestão da ação e/ou reafetadas, complementadas, se necessário, por eventuais dotações adicionais que sejam atribuídas à DG gestora no quadro do processo anual de atribuição e no limite das disponibilidades orçamentais.

6.Métodos de cálculo utilizados para estimar os custos

(a) Recursos humanos

Esta parte define o método de cálculo utilizado para estimar os recursos humanos considerados necessários [carga de trabalho prevista, incluindo funções específicas (perfis do Sysper 2), categorias de pessoal e custos médios correspondentes]

1.RUBRICA 7 do quadro financeiro plurianual

2.N.B.: Os custos médios por categoria de pessoal na sede estão disponíveis na BudgWeb: 3. https://myintracomm.ec.europa.eu/budgweb/EN/pre/legalbasis/Pages/pre-040-020_preparation.aspx .

4.□ Funcionários e agentes temporários 5.7 funcionários AD (incluindo 1 da CNECT/F.3 em 2023-2024) x 152 000 EUR/ano em 2023-2027 (metade dos quais em 2022 devido à adoção esperada em meados de 2022); 6.1 funcionário AST x 152 000 EUR/ano em 2023-2027 (metade dos quais em 2022 devido à adoção esperada em meados de 2022) 7.

8.□ Pessoal externo 9.AC: 1 x 82 000 EUR/ano em 2023-2027 (metade dos quais em 2022 devido à adoção esperada em meados de 2022) (fator de indexação aplicado); 10.PND x 86 000 EUR/ano em 2023-2027 (metade dos quais em 2022 devido à adoção esperada em meados de 2022) (fator de indexação aplicado); 11.

12.Com exclusão da RUBRICA 7 do quadro financeiro plurianual

13.□ Apenas os postos financiados pelo orçamento dedicado à investigação  14.

15.□ Pessoal externo 16.

7.Outras despesas administrativas

Especificar detalhadamente os métodos de cálculo utilizados para cada rubrica orçamental,

em especial as estimativas de base (nomeadamente, número de reuniões por ano, custos médios, etc.)

21.Com exclusão da RUBRICA 7 do quadro financeiro plurianual 22.Os custos das reuniões do grupo de peritos são imputadas à rubrica administrativa do PED. 23.Prevê-se a realização de reuniões mensais (12 000 EUR) durante a preparação do ato de execução (meados de 2022-2024) e, fora desse período, estão previstas reuniões bimensais para garantir a coordenação à escala da UE relativamente à execução técnica.

24.

(1)    JO L 257 de 28.8.2014, p. 73.

(2)    [aditar referência assim que for adotada]

(3)    https://www.consilium.europa.eu/media/45928/021020-euco-final-conclusions-pt.pdf.

(4)    Discurso sobre o estado da União, proferido em 16 de setembro de 2020, ver https://ec.europa.eu/commission/presscorner/detail/pt/SPEECH_20_1655.

(5)    Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões intitulada «Construir o futuro digital da Europa».

(6)    Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões intitulada «Orientações para a Digitalização até 2030: a via europeia para a Década Digital».

(7)    Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, JO L 119 de 4.5.2016, p. 1.

(8)    https://ec.europa.eu/commission/presscorner/detail/pt/IP_20_2391.

(9)    Regulamento (UE) 2018/1724 do Parlamento Europeu e do Conselho, de 2 de outubro de 2018, relativo à criação de uma plataforma digital única para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas, JO L 295 de 21.11.2018, p. 1.

(10)    Plano de Ação para a Democracia Europeia, COM(2020) 790 final.

(11)    Diretiva 2014/65/UE do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativa aos mercados de instrumentos financeiros e que altera a Diretiva 2002/92/CE e a Diretiva 2011/61/UE (Texto relevante para efeitos do EEE), JO L 173 de 12.6.2014, p. 349.

(12)    Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010, e que revoga a Diretiva 2007/64/CE, JO L 337 de 23.12.2015, p. 35.

(13)    Proposta de Regulamento do Parlamento Europeu e do Conselho relativo aos mercados de criptoativos e que altera a Diretiva (UE) 2019/1937, COM(2020) 593 final.

(14)    Gartner, Blockchain Evolution, 2020.

(15)    JO C de , p. .

(16)    COM(2020) 67 final.

(17)    https://www.consilium.europa.eu/pt/press/press-releases/2020/10/02/european-council-conclusions-1-2-october-2020/.

(18)    COM(2021) 118 final/2.

(19)    Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), JO L 119 de 4.5.2016, p. 1.

(20)    Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança), JO L 151 de 7.6.2019, p. 15.

(21)    Regulamento (UE) 2019/1157 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, que visa reforçar a segurança dos bilhetes de identidade dos cidadãos da União e dos títulos de residência emitidos aos cidadãos da União e seus familiares que exercem o direito à livre circulação, JO L 188 de 12.7.2019, p. 67.

(22)    Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos requisitos de acessibilidade dos produtos e serviços, JO L 151 de 7.6.2019, p. 70.

(23)    Diretiva 2014/65/UE do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativa aos mercados de instrumentos financeiros e que altera a Diretiva 2002/92/CE e a Diretiva 2011/61/UE (Texto relevante para efeitos do EEE), JO L 173 de 12.6.2014, p. 349.

(24)    Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010, e que revoga a Diretiva 2007/64/CE, JO L 337 de 23.12.2015, p. 35.

(25)    Proposta de Regulamento do Parlamento Europeu e do Conselho relativo aos mercados de criptoativos e que altera a Diretiva (UE) 2019/1937, COM(2020) 593 final.

(26)    [inserir referência quando adotada]

(27)    Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE, JO L 295 de 21.11.2018, p. 39.

(28)    Tal como referido no artigo 58.º, n.º 2, alíneas a) ou b), do Regulamento Financeiro.

(29)    As explicações sobre as modalidades de gestão e as referências ao Regulamento Financeiro estão disponíveis no sítio BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx .

(30)    DD = dotações diferenciadas/DND = dotações não diferenciadas.

(31)    EFTA: Associação Europeia de Comércio Livre.

(32)    Países candidatos e, se aplicável, países candidatos potenciais dos Balcãs Ocidentais.

(33)    Se os custos reais excederem os montantes indicados, os custos serão financiados pela rubrica 02 04 05 01.

(34)    De acordo com a nomenclatura orçamental oficial.

(35)    Assistência técnica e/ou administrativa e despesas de apoio à execução de programas e/ou ações da UE (antigas rubricas «BA»), bem como investigação direta e indireta.

(36)    As realizações dizem respeito aos produtos fornecidos e serviços prestados (exemplo: número de intercâmbios de estudantes financiados, número de quilómetros de estradas construídas, etc.).

(37)    Tal como descrito no ponto 1.4.2., «Objetivo(s) específico(s)…».

(38)    Assistência técnica e/ou administrativa e despesas de apoio à execução de programas e/ou ações da UE (antigas rubricas «BA»), bem como investigação direta e indireta.

(39)    Sublimite máximo para o pessoal externo coberto pelas dotações operacionais (antigas rubricas «BA»).

(40)    O ano N é o do início da aplicação da proposta/iniciativa. Substituir «N» pelo primeiro ano de execução previsto (por exemplo: 2021). Proceder do mesmo modo relativamente aos anos seguintes.

(41)    No que diz respeito aos recursos próprios tradicionais (direitos aduaneiros e quotizações sobre o açúcar), as quantias indicadas devem ser apresentadas em termos líquidos, isto é, quantias brutas após dedução de 20 % a título de despesas de cobrança.

(42)    Escolher a rubrica orçamental pertinente, ou especificar outra se necessário; caso estejam em causa outras rubricas orçamentais, o pessoal deverá ser diferenciado por rubrica orçamental

(43)    Escolher a rubrica orçamental pertinente, ou especificar outra se necessário; caso estejam em causa outras rubricas orçamentais, o pessoal deverá ser diferenciado por rubrica orçamental

(44)    Especificar o tipo de comité e o grupo a que este pertence.

(45)    O parecer da DG DIGIT – Equipa de Investimentos TI é necessário [consultar as Orientações sobre o financiamento das TI, C(2020) 6126 final de 10.9.2020, p. 7].

(46)    O parecer da DG DIGIT – Equipa de Investimentos TI é necessário [consultar as Orientações sobre o financiamento das TI, C(2020) 6126 final de 10.9.2020, p. 7].

(47)    Este ponto inclui sistemas administrativos locais e contribuições para o cofinanciamento de sistemas de TI de empresas [consultar as Orientações sobre o financiamento das TI, C(2020) 6126 final de 10.9.2020]

COMISSÃO EUROPEIA

Bruxelas, 3.6.2021

COM(2021) 281 final

ANEXO

da Proposta de

Regulamento do Parlamento Europeu e do Conselho

que altera o Regulamento (UE) n.º 910/2014 no respeitante à criação de um Quadro Europeu para a Identidade Digital

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}

ANEXO I

No anexo I, a alínea i) passa a ter a seguinte redação:

«i)    A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;».

ANEXO II

REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS

1.    Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:

a)A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;

b)Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;

c)Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;

d)Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

2.    Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.

ANEXO III

No anexo III, a alínea i) passa a ter a seguinte redação:

«i)    A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;».

ANEXO IV

No anexo IV, a alínea i) passa a ter a seguinte redação:

«j)    A informação ou a localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir da validade do certificado qualificado.».

ANEXO V

REQUISITOS APLICÁVEIS AOS CERTIFICADOS ELETRÓNICOS QUALIFICADOS DE ATRIBUTOS

Os certificados eletrónicos qualificados de atributos devem conter:

a)Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado eletrónico qualificado de atributos;

b)Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados eletrónicos qualificados de atributos, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e:

–para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

–para as pessoas singulares: o nome;

c)Um conjunto de dados que representem inequivocamente a entidade a que os atributos certificados se referem; a utilização de um pseudónimo deve ser claramente indicada;

d)O ou os atributos certificados, incluindo, se for caso disso, as informações necessárias para identificar o âmbito desses atributos;

e)A indicação do início e do termo da validade do certificado;

f)O código de identificação do certificado, que deve ser único para o prestador qualificado de serviços de confiança e, se aplicável, a indicação do sistema de certificação de que o certificado de atributos faz parte;

g)A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea f);

i)A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado.

ANEXO VI

LISTA MÍNIMA DE ATRIBUTOS

Em conformidade com o artigo 45.º-D, os Estados-Membros asseguram que sejam tomadas medidas que permitam aos prestadores qualificados de certificados eletrónicos de atributos verificar por via eletrónica, a pedido do utilizador, a autenticidade dos seguintes atributos, por confronto com a fonte autêntica pertinente a nível nacional ou através de intermediários designados reconhecidos a nível nacional, em conformidade com a legislação nacional ou da União, e nos casos em que esses atributos se baseiem em fontes autênticas do setor público:

1.Endereço;

2.Idade;

3.Sexo;

4.Estado civil;

5.Composição do agregado familiar;

6.Nacionalidade;

7.Habilitações literárias, títulos e licenças;

8.Qualificações profissionais, títulos e licenças;

9.Autorizações e licenças públicas;

10.Dados financeiros e das empresas.