02014R0910 — PT — 18.10.2024 — 002.003
Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento
|
REGULAMENTO (UE) N.o 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO de 23 de julho de 2014 (JO L 257 de 28.8.2014, p. 73) |
Alterado por:
|
|
|
Jornal Oficial |
||
|
n.° |
página |
data |
||
|
DIRETIVA (UE) 2022/2555 DO PARLAMENTO EUROPEU E DO CONSELHO de 14 de dezembro de 2022 |
L 333 |
80 |
27.12.2022 |
|
|
REGULAMENTO (UE) 2024/1183 DO PARLAMENTO EUROPEU E DO CONSELHO de 11 de abril de 2024 |
L 1183 |
1 |
30.4.2024 |
|
Retificado por:
REGULAMENTO (UE) N.o 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO
de 23 de julho de 2014
relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.o
Objeto
O presente regulamento visa assegurar o bom funcionamento do mercado interno e a disponibilização de um nível adequado de segurança dos meios de identificação eletrónica e dos serviços de confiança utilizados em toda a União, a fim de permitir e facilitar o exercício, por pessoas singulares e coletivas, do direito de participar na sociedade digital em segurança e de aceder aos serviços públicos e privados em linha em toda a União. Para o efeito, o presente regulamento:
Estabelece as condições em que os Estados-Membros devem reconhecer os meios de identificação eletrónica de pessoas singulares e coletivas abrangidas por um sistema de identificação eletrónica notificado de outro Estado-Membro e fornecer e reconhecer carteiras europeias de identidade digital;
Estabelece normas aplicáveis aos serviços de confiança, nomeadamente às transações eletrónicas;
Estabelece um regime jurídico para as assinaturas eletrónicas, os selos eletrónicos, os selos temporais eletrónicos, os documentos eletrónicos, os serviços de envio registado eletrónico, os serviços de certificados para autenticação de sítios Web, o arquivo eletrónico, o certificado eletrónico de atributos, dispositivos de criação de assinaturas eletrónicas, dispositivos de criação de selos eletrónicos, e os livros-razão eletrónicos.
Artigo 2.o
Âmbito de aplicação
Artigo 3.o
Definições
Para efeitos do presente regulamento, entende-se por:
|
1) |
«Identificação eletrónica» : o processo de utilização dos dados de identificação pessoal em formato eletrónico que representem de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva; |
|
2) |
«Meio de identificação eletrónica» : uma unidade material e/ou imaterial, que contenha os dados de identificação pessoal e que é utilizada para autenticação para um serviço em linha ou, se for caso disso, um serviço fora de linha; |
|
3) |
«Dados de identificação pessoal» : um conjunto de dados que é emitido de acordo com o direito da União ou nacional e que permite determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva; |
|
4) |
«Sistema de identificação eletrónica» : um sistema de identificação eletrónica ao abrigo do qual sejam emitidos meios de identificação eletrónica para as pessoas singulares ou coletivas, ou para as pessoas singulares que representem outras pessoas singulares ou pessoas coletivas; |
|
5) |
«Autenticação» : o processo eletrónico que permite a confirmação da identificação eletrónica de uma pessoa singular ou coletiva ou a confirmação da origem e integridade de dados em formato eletrónico; |
|
5-A) |
«Utente» : uma pessoa singular ou coletiva, ou uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva, que utiliza serviços de confiança ou meios de identificação eletrónica, prestados em conformidade com o presente regulamento; |
|
6) |
«Utilizador» : uma pessoa singular ou coletiva que recorre à identificação eletrónica, às carteiras europeias de identidade digital ou a outros meios de identificação eletrónica, ou a um serviço de confiança; |
|
7) |
«Organismo público» : uma entidade estatal nacional, regional ou local, um organismo de direito público ou uma associação formada por uma ou mais dessas entidades ou por um ou mais organismos de direito público, ou uma entidade privada mandatada por, pelo menos, uma dessas autoridades, organismos ou associações como sendo de interesse público, ao abrigo de tal mandato; |
|
8) |
«Organismo de direito público» : o organismo definido no artigo 2.o, n.o 1, ponto 4), da Diretiva 2014/24/UE do Parlamento Europeu e do Conselho ( 2 ); |
|
9) |
«Signatário» : a pessoa singular que cria uma assinatura eletrónica; |
|
10) |
«Assinatura eletrónica» : os dados em formato eletrónico que se ligam ou estão logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo signatário para assinar; |
|
11) |
«Assinatura eletrónica avançada» : uma assinatura eletrónica que obedeça aos requisitos estabelecidos no artigo 26.o; |
|
12) |
«Assinatura eletrónica qualificada» : uma assinatura eletrónica avançada criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica; |
|
13) |
«Dados para a criação de uma assinatura eletrónica» : o conjunto único de dados que é utilizado pelo signatário para criar uma assinatura eletrónica; |
|
14) |
«Certificado de assinatura eletrónica» : um atestado eletrónico que associa os dados de validação da assinatura eletrónica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo; |
|
15) |
«Certificado qualificado de assinatura eletrónica» : um certificado de assinatura eletrónica, que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I; |
|
16) |
«Serviço de confiança» : um serviço eletrónico geralmente prestado mediante remuneração, que consista num dos seguintes:
a)
Na emissão de certificados de assinaturas eletrónicas, certificados de selos eletrónicos, certificados de autenticação de sítios Web ou certificados para a prestação de outros serviços de confiança;
b)
Na validação de certificados de assinaturas eletrónicas, certificados de selos eletrónicos, certificados de autenticação de sítios Web ou certificados para a prestação de outros serviços de confiança;
c)
Na criação de assinaturas eletrónicas ou de selos eletrónicos;
d)
Na validação de assinaturas eletrónicas ou de selos eletrónicos;
e)
Na conservação de assinaturas eletrónicas, de selos eletrónicos, de certificados de assinaturas eletrónicas ou de certificados de selos eletrónicos;
f)
Na gestão de dispositivos de criação de assinaturas eletrónicas à distância ou dispositivos de criação de selos eletrónicos à distância;
g)
Na emissão de certificados eletrónicos de atributos;
h)
Na validação de certificados eletrónicos de atributos;
i)
Na criação de selos temporais eletrónicos;
j)
Na validação de selos temporais eletrónicos;
k)
Na prestação de serviços de envio registado eletrónico;
l)
Na validação dos dados transmitidos através de serviços de envio registado eletrónico e comprovativos conexos;
m)
No arquivo eletrónico de dados eletrónicos e de documentos eletrónicos;
n)
No registo de dados eletrónicos num livro-razão eletrónico; |
|
17) |
«Serviço de confiança qualificado» : um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no presente regulamento; |
|
18) |
«Organismo de avaliação da conformidade» : um organismo de avaliação da conformidade na aceção do artigo 2.o, ponto 13, do Regulamento (CE) n.o 765/2008, que é acreditado nos termos do mesmo regulamento como sendo competente para efetuar a avaliação da conformidade de um prestador qualificado de serviços de confiança e dos serviços de confiança qualificados que aquele presta, ou como sendo competente para proceder à certificação de carteiras europeias de identidade digital ou de meios de identificação eletrónica; |
|
19) |
«Prestador de serviços de confiança» : a pessoa singular ou coletiva que preste um ou mais do que um serviço de confiança quer como prestador qualificado quer como prestador não qualificado de serviços de confiança; |
|
20) |
«Prestador qualificado de serviços de confiança» : o prestador de serviços de confiança que preste um ou mais do que um serviço de confiança qualificado e ao qual é concedido o estatuto de qualificado pela entidade supervisora; |
|
21) |
«Produto» : equipamento informático ou software, ou componentes pertinentes de equipamento informático ou software, que se destinam a ser utilizados para a prestação de serviços de identificação eletrónica e de serviços de confiança; |
|
22) |
«Dispositivo de criação de assinaturas eletrónicas» : software ou hardware configurados, utilizados para criar assinaturas eletrónicas; |
|
23) |
«Dispositivo qualificado de criação de assinaturas eletrónicas» : o dispositivo para a criação de assinaturas eletrónicas que cumpra os requisitos estabelecidos no anexo II; |
|
23-A) |
«Dispositivo qualificado de criação de assinaturas eletrónicas à distância» : um dispositivo qualificado de criação de assinaturas eletrónicas gerido por um prestador qualificado de serviços de confiança nos termos do artigo 29.o-A em nome de um signatário; |
|
23-B) |
«Dispositivo qualificado de criação de selos eletrónicos à distância» : um dispositivo qualificado de criação de selos eletrónicos gerido por um prestador qualificado de serviços de confiança nos termos do artigo 39.o-A em nome de um criador de selos; |
|
24) |
«Criador de um selo» : a pessoa coletiva que cria um selo eletrónico; |
|
25) |
«Selo eletrónico» : os dados em formato eletrónico apenso ou logicamente associado a outros dados em formato eletrónico para garantir a origem e a integridade destes últimos; |
|
26) |
«Selo eletrónico avançado» : um selo eletrónico que obedeça aos requisitos estabelecidos no artigo 36.o: |
|
27) |
«Selo eletrónico qualificado» : selo eletrónico avançado criado por um dispositivo qualificado de criação de selos eletrónicos e que se baseie num certificado qualificado de selo eletrónico; |
|
28) |
«Dados para a criação de um selo eletrónico» : o conjunto único de dados que seja utilizado pelo criador do selo eletrónico para criar um selo eletrónico; |
|
29) |
«Certificado de selo eletrónico» : um atestado eletrónico que associa os dados de validação do selo eletrónico a uma pessoa coletiva e confirma o seu nome; |
|
30) |
«Certificado qualificado de selo eletrónico» : um certificado de selo eletrónico emitido por um prestador qualificado de serviços de confiança que satisfaça os requisitos estabelecidos no anexo III; |
|
31) |
«Dispositivo de criação de selos eletrónicos» : software ou hardware configurados, utilizados para criar selos eletrónicos; |
|
32) |
«Dispositivo qualificado de criação de selos eletrónicos» : um dispositivo para a criação de selos eletrónicos que satisfaça mutatis mutandis os requisitos estabelecidos no anexo II; |
|
33) |
«Selos temporais» : os dados em formato eletrónico que vinculam outros dados em formato eletrónico a uma hora específica, criando uma prova de que esses outros dados existiam nesse momento; |
|
34) |
«Selo temporal qualificado» : um selo temporal que satisfaça os requisitos estabelecidos no artigo 42.o; |
|
35) |
«Documento eletrónico» : qualquer conteúdo armazenado em formato eletrónico, nomeadamente texto ou gravação sonora, visual ou audiovisual; |
|
36) |
«Serviço de envio registado eletrónico» : um serviço que torne possível a transmissão de dados entre terceiros por meios eletrónicos e forneça prova do tratamento dos dados transmitidos, nomeadamente a prova do envio e da receção dos mesmos, e que proteja os dados transferidos contra o risco de perda, roubo, dano ou alteração não autorizada; |
|
37) |
«Serviço qualificado de envio registado eletrónico» : um serviço de envio registado eletrónico que satisfaça os requisitos estabelecidos no artigo 44.o; |
|
38) |
«Certificado de autenticação de sítios Web» : um atestado eletrónico que torne possível autenticar um sítio Web e associe o sítio Web à pessoa singular ou coletiva à qual o certificado tenha sido emitido; |
|
39) |
«Certificado qualificado de autenticação de sítios web» : um certificado de autenticação de sítios web que seja emitido por um prestador de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I; |
|
40) |
«Dados de validação» : dados que são utilizados para validar uma assinatura eletrónica ou um selo eletrónico; |
|
41) |
«Validação» : o processo pelo qual é verificada e confirmada a validade dos dados em formato eletrónico em conformidade com o presente regulamento; |
|
42) |
«Carteira europeia de identidade digital» : um meio de identificação eletrónica que permite ao utente armazenar, gerir e validar de forma segura dados de identificação pessoal e certificados eletrónicos de atributos, com o objetivo de os fornecer aos utilizadores e a outros utentes de carteiras europeias de identidade digital, e assinar com assinatura eletrónica qualificada e apor selos com selos eletrónicos qualificados; |
|
43) |
«Atributo» : uma característica, qualidade, direito ou autorização de uma pessoa singular ou coletiva ou de um objeto; |
|
44) |
«Certificado eletrónico de atributos» : um certificado em formato eletrónico que permite a autenticação de atributos; |
|
45) |
«Certificado eletrónico qualificado de atributos» : um certificado eletrónico de atributos que é emitido por um prestador qualificado de serviços de confiança e satisfaz os requisitos estabelecidos no anexo V; |
|
46) |
«Certificado eletrónico de atributos emitido por um organismo do setor público responsável por uma fonte autêntica, ou em seu nome» : um certificado eletrónico de atributos emitido por um organismo do setor público responsável por uma fonte autêntica ou por um organismo do setor público designado pelo Estado-Membro para emitir tais certificados de atributos em nome dos organismos do setor público responsáveis pelas fontes autênticas, em conformidade com o artigo 45.o-F e o anexo VII; |
|
47) |
«Fonte autêntica» : um repositório ou sistema, sob a responsabilidade de um organismo do setor público ou de uma entidade privada, que contém e fornece atributos relativos a uma pessoa singular ou coletiva ou a um objeto e é considerado uma fonte principal dessa informação ou reconhecido como autêntico de acordo com o direito da União ou nacional, incluindo a prática administrativa; |
|
48) |
«Arquivo eletrónico» : um serviço que assegura a receção, o armazenamento, a recuperação e a supressão de dados eletrónicos e de documentos eletrónicos, a fim de assegurar a sua durabilidade e legibilidade, bem como para preservar a sua integridade, confidencialidade e prova de origem durante todo o período de preservação; |
|
49) |
«Serviço qualificado de arquivo eletrónico» : um serviço de arquivo eletrónico prestado por um prestador qualificado de serviços de confiança e que satisfaz os requisitos estabelecidos no artigo 45.o-J; |
|
50) |
«Marca de confiança ‘UE’ para a carteira de identidade digital» : uma indicação verificável, simples e reconhecível, comunicada de forma clara, de que uma carteira europeia de identidade digital foi fornecida em conformidade com o presente regulamento; |
|
51) |
«Autenticação forte do utente» : uma autenticação baseada em pelo menos dois fatores de autenticação pertencentes a categorias diferentes, quer de conhecimento, algo que só o utente conhece, posse, algo que só o utente possui, ou inerência, uma característica própria do utente, os quais são independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros, e que é concebida para proteger a confidencialidade dos dados de autenticação; |
|
52) |
«Livro-razão eletrónico» : uma sequência de registos eletrónicos de dados que assegura a integridade desses registos e a exatidão do ordenamento cronológico desses registos; |
|
53) |
«Livro-razão eletrónico qualificado» : um livro-razão eletrónico fornecido por um prestador qualificado de serviços de confiança e que satisfaz os requisitos estabelecidos no artigo 45.o-L; |
|
54) |
«Dados pessoais» : qualquer informação na aceção do artigo 4.o, ponto 1), do Regulamento (UE) 2016/679; |
|
55) |
«Correspondência de identidade» : um processo em que os dados de identificação pessoal ou os meios de identificação eletrónicos correspondem ou são ligados a uma conta existente pertencente à mesma pessoa; |
|
56) |
«Registo de dados» : os dados eletrónicos registados com metadados conexos que apoiam o tratamento dos dados; |
|
57) |
«Modo fora de linha» : no que respeita às carteiras europeias de identidade digital, a interação entre um utente e um terceiro num local físico utilizando tecnologias de proximidade, sem que seja necessário que a carteira europeia de identidade digital aceda a sistemas à distância através de redes de comunicações eletrónicas para efeitos da interação. |
Artigo 4.o
Princípios relativos ao mercado interno
Artigo 5.o
Pseudónimos nas transações eletrónicas
Sem prejuízo das regras específicas do direito da União ou nacional que exijam que os utentes se identifiquem ou dos efeitos legais conferidos aos pseudónimos nos termos das legislações nacionais, não é proibido utilizar pseudónimos escolhidos pelo utente.
CAPÍTULO II
IDENTIFICAÇÃO ELETRÓNICA
SECÇÃO 1
Carteira europeia de identidade digital
Artigo 5.o-A
Carteiras europeias de identidade digital
As carteiras europeias de identidade digital são fornecidas de uma ou várias das seguintes formas:
Diretamente por um Estado-Membro;
Por mandato de um Estado-Membro;
De forma independente de um Estado-Membro, mas reconhecida por esse Estado-Membro.
As carteiras europeias de identidade digital permitem ao utente, de uma forma que seja de fácil utilização, transparente e rastreável pelo utilizador:
Solicitar, obter, selecionar, combinar, armazenar, apagar, partilhar e apresentar de forma segura, sob o controlo exclusivo do utente, dados de identificação pessoal e, se for caso disso, em combinação com certificados eletrónicos de atributos, autenticar-se em linha aos utilizadores e, se for caso disso, em modo fora de linha, a fim de aceder a serviços públicos e privados, assegurando simultaneamente a possibilidade de divulgação seletiva de dados;
Gerar pseudónimos e armazená-los de forma cifrada e localmente na carteira europeia de identidade digital;
Autenticar de forma segura a carteira europeia de identidade digital de outra pessoa e receber e partilhar dados de identificação pessoal e certificados eletrónicos de atributos de forma segura entre as duas carteiras europeias de identidade digital;
Aceder a um registo de todas as transações realizadas através da carteira europeia de identidade digital, recorrendo a um painel de controlo comum que permita ao utente:
visualizar uma lista atualizada dos utilizadores com as quais o utente estabeleceu uma ligação e, se for caso disso, todos os dados trocados,
solicitar facilmente o apagamento de dados pessoais por parte de um utilizador, nos termos do artigo 17.o do Regulamento (UE) 2016/679,
Denunciar facilmente um utilizador à autoridade nacional responsável pela proteção em caso de receção de um pedido de dados alegadamente ilegal ou suspeito;
Assinar com assinaturas eletrónicas qualificadas ou apor selos com selos eletrónicos qualificados;
Descarregar, na medida em que tal seja tecnicamente viável, os dados do utente, o certificado eletrónico de atributos e as configurações;
Exercer os direitos do utente à portabilidade dos dados.
Em especial, as carteiras europeias de identidade digital:
Apoiam protocolos e interfaces comuns:
para a emissão de dados de identificação pessoal, certificados eletrónicos qualificados e não qualificados de atributos ou certificados qualificados e não qualificados para a carteira europeia de identidade digital;
para os utilizadores pedirem e validarem dados de identificação pessoal e certificados eletrónicos de atributos;
para a partilhar e apresentar aos utilizadores dados de identificação pessoal ou de certificados eletrónicos de atributos ou dados conexos divulgados seletivamente em linha e, se for caso disso, em modo fora de linha;
para o utente poder interagir com a carteira europeia de identidade digital e exibir uma «marca de confiança “UE” para a carteira de identidade digital»;
para a adesão segura do utente, utilizando um meio de identificação eletrónica, em conformidade com o artigo 5.o-A, n.o 24,
para a interação entre as carteiras europeias de identidade digital de duas pessoas para efeitos de receção, validação e partilha de dados de identificação pessoal e certificados eletrónicos de atributos de forma segura;
para autenticar e identificar os utilizadores através da aplicação de mecanismos de autenticação em conformidade com o artigo 5.o-B;
para os utilizadores verificarem a autenticidade e a validade das carteiras europeias de identidade digital;
para solicitar a um utilizador o apagamento de dados pessoais, nos termos do artigo 17.o do Regulamento (UE) 2016/679;
para denunciar um utilizador à autoridade nacional responsável pela proteção de dados, em caso de receção de um pedido de dados alegadamente ilegal ou suspeito;
para a criação de assinaturas eletrónicas qualificadas ou de selos eletrónicos qualificados com dispositivos qualificados de criação de assinaturas eletrónicas ou de selos eletrónicos;
Não facultam quaisquer informações aos prestadores de serviços de confiança de certificados eletrónicos de atributos sobre a utilização desses certificados eletrónicos;
Asseguram que a identidade dos utilizadores possa ser autenticada e identificada através da aplicação de mecanismos de autenticação em conformidade com o artigo 5.o-B;
Cumprem os requisitos estabelecidos no artigo 8.o no que diz respeito ao nível de garantia elevado, em especial à sua aplicação aos requisitos de prova e verificação da identidade, assim como à gestão e autenticação de meios de identificação eletrónica;
No caso do certificado eletrónico de atributos com políticas de divulgação incorporadas, aplicam o mecanismo adequado para informar o utente de que o utilizador ou o utente da carteira europeia de identidade digital que requer esse certificado eletrónico de atributos está autorizado a aceder ao mesmo;
Asseguram que os dados de identificação pessoal, disponíveis a partir do sistema de identificação eletrónica ao abrigo do qual é fornecida a carteira europeia de identidade digital, representam de modo único a pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa singular ou coletiva, e estão associados a essa carteira europeia de identidade digital;
Oferecem a todas as pessoas singulares a possibilidade de assinar através de assinaturas eletrónicas qualificadas por defeito e gratuitamente.
Não obstante o disposto na alínea g) do primeiro parágrafo, os Estados-Membros podem prever medidas proporcionadas para assegurar que a utilização gratuita de assinaturas eletrónicas qualificadas por pessoas singulares se limite a fins não profissionais.
Os Estados-Membros preveem mecanismos de validação gratuitos para:
Garantir que a autenticidade e validade das carteiras europeias de identidade digital podem ser verificadas;
Permitir aos utentes verificar a autenticidade e a validade da identidade dos utilizadores registados em conformidade com o artigo 5.o-B.
Os Estados-Membros velam por que a validade da carteira europeia de identidade digital possa ser revogada nas seguintes circunstâncias:
Mediante pedido explícito do utente;
Caso a segurança da carteira europeia de identidade digital tenha sido comprometida;
Em caso de morte do utente ou de cessação da atividade da pessoa coletiva.
O enquadramento técnico da carteira europeia de identidade digital:
Não permite que os fornecedores de certificados eletrónicos de atributos ou qualquer outra parte, após a emissão do certificado de atributos, obtenham dados que permitam que as transações ou o comportamento dos utentes sejam seguidos, ligados ou correlacionados, ou que o conhecimento das transações ou o comportamento dos utentes seja obtido de outra forma, salvo autorização explícita do próprio utente;
Permite técnicas de preservação da privacidade que garantam a ausência de associação, sempre que o certificado de atributos não exija a identificação do utente.
Os Estados-Membros notificam à Comissão, sem demora injustificada, informações sobre:
O organismo responsável pela elaboração e manutenção da lista dos utilizadores registados que recorrem às carteiras europeias de identidade digital, em conformidade com o artigo 5.o-B, n.o 5, e a localização dessa lista;
Os organismos responsáveis pelo fornecimento das carteiras europeias de identidade digital, em conformidade com o artigo 5.o-A, n.o 1;
Os organismos responsáveis por assegurar que os dados de identificação pessoal estão associados à carteira europeia de identidade digital, em conformidade com o artigo 5.o-A, n.o 5, alínea f);
O mecanismo que permite a validação dos dados de identificação pessoal a que se refere o artigo 5.o-A, n.o 5, alínea f), e sobre a identidade dos utilizadores;
O mecanismo para validar a autenticidade e a validade das carteiras europeias de identidade digital.
A Comissão disponibiliza ao público as informações notificadas nos termos do primeiro parágrafo, através de um canal seguro, num formato assinado ou selado por via eletrónica, adequado ao tratamento automático.
Artigo 5.o-B
Utilizadores de carteiras europeias de identidade digital
O processo de registo é eficaz em termos de custos e proporcional ao risco. O utilizador presta, pelo menos:
As informações necessárias para autenticar as carteiras europeias de identidade digital, que incluem, no mínimo:
o Estado-Membro em que o utilizador está estabelecido, e
o nome do utilizador e, se for caso disso, o seu número de registo, tal como consta num registo oficial, juntamente com os dados de identificação desse registo oficial;
Os dados de contacto do utilizador;
A utilização prevista das carteiras europeias de identidade digital, incluindo uma indicação dos dados a solicitar aos utentes pelo utilizador.
Artigo 5.o-C
Certificação de carteiras europeias de identidade digital
Artigo 5.o-D
Publicação de uma lista de carteiras europeias de identidade digital certificadas
Sem prejuízo do artigo 5.o-A, n.o 18, as informações prestadas pelos Estados-Membros a que se refere o n.o 1 do presente artigo incluem, pelo menos:
O certificado e o relatório de avaliação da certificação da carteira europeia de identidade digital certificada;
A descrição do sistema de identificação eletrónica ao abrigo do qual é fornecida a carteira europeia de identidade digital;
O regime de supervisão aplicável e as informações sobre o regime de responsabilidade no que diz respeito à parte que fornece a carteira europeia de identidade digital;
Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica;
As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica, da autenticação ou das partes afetadas em causa.
Artigo 5.o-E
Violação da segurança das carteiras europeias de identidade digital
Sempre que a gravidade da violação ou comprometimento de segurança a que se refere o primeiro parágrafo o justifique, o Estado-Membro retira as carteiras europeias de identidade digital sem demora indevida.
O Estado-Membro informa do facto os utentes afetados, os pontos de contacto único designados nos termos do artigo 46.o-C, n.o 1, os utilizadores e a Comissão.
Artigo 5.o-F
Recurso transfronteiriço às carteiras europeias de identidade digital
SECÇÃO 2
Sistemas de identificação eletrónica
Artigo 6.o
Reconhecimento mútuo
Quando, para aceder a um serviço em linha prestado por um organismo público de um Estado-Membro, seja exigida, ao abrigo da legislação ou nos termos da prática administrativa nacional, uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação, o meio de identificação eletrónica produzido noutro Estado-Membro é reconhecido no primeiro Estado-Membro para efeitos de autenticação transfronteiriço para o referido serviço em linha, se estiverem reunidas as seguintes condições:
O meio de identificação eletrónica ser produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o;
O nível de garantia do meio de identificação eletrónica corresponder a um nível de garantia igual ou superior ao exigido pelo organismo público para o acesso ao serviço em linha no primeiro Estado-Membro, desde que o nível de garantia do referido meio de identificação eletrónica corresponda ao nível substancial ou elevado;
O organismo público em causa utilizar o nível de garantia substancial ou elevado para conceder acesso ao referido serviço em linha.
O reconhecimento é efetuado num prazo de 12 meses após a Comissão ter publicado, a lista a que se refere a alínea a) do primeiro parágrafo.
Artigo 7.o
Elegibilidade para notificação dos sistemas de identificação eletrónica
Os sistemas de identificação eletrónica podem ser notificados nos termos do artigo 9.o, n.o 1, se estiverem reunidas todas as seguintes condições:
Os meios de identificação eletrónica que integram o sistema de identificação eletrónica serem produzidos:
pelo Estado-Membro notificante,
por mandato do Estado-Membro notificante, ou
independentemente do Estado-Membro notificante e serem por ele reconhecidos;
Os meios de identificação eletrónica que integram o sistema de identificação eletrónica poderem ser utilizados para aceder pelo menos a um serviço prestado por um organismo público que exija identificação eletrónica no Estado-Membro notificante;
O sistema de identificação eletrónica e os meios de identificação eletrónica por ele produzidos preencherem os requisitos de pelo menos um dos níveis de garantia estabelecidos no ato de execução a que se refere o artigo 8.o, n.o 3;
O Estado-Membro notificante garantir que os dados de identificação que representam de modo único a pessoa em causa são atribuídos, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3, à pessoa singular ou coletiva referida no artigo 3.o, ponto 1, no momento em que os meios de identificação eletrónica que integram o sistema forem produzidos;
A parte que produz os meios de identificação eletrónica que integram o sistema garantir que os mesmos meios de identificação são atribuídos à pessoa singular ou coletiva a que se refere a alínea d), do presente artigo, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3;
O Estado-Membro notificante garantir a possibilidade de autenticação em linha, para que qualquer utilizador estabelecido no território de outro Estado-Membro possa confirmar os dados de identificação recebidos em formato eletrónico.
Para os utilizadores que não sejam organismos públicos, o Estado-Membro notificante pode definir termos de acesso à referida autenticação. Este tipo de autenticação transfronteiriça é gratuito se for realizado para acesso a um serviço em linha prestado por um organismo público.
Os Estados-Membros não podem impor requisitos técnicos específicos desproporcionados aos utilizadores que pretendam executar essa autenticação, se esses requisitos impedirem ou dificultarem significativamente a interoperabilidade dos sistemas de identificação eletrónica notificados;
No mínimo seis meses antes da notificação prevista no artigo 9.o, n.o 1, o Estado-Membro notificante fornecer aos outros Estados-Membros para efeitos do artigo 12.o, n.o 5, uma descrição do sistema, de acordo com as modalidades processuais definidas pelos atos de execução adotados nos termos do artigo 12.o, n.o 6;
O sistema de identificação eletrónica cumprir os requisitos definidos no ato de execução mencionado no artigo 12.o, n.o 8.
Artigo 8.o
Níveis de garantia dos sistemas de identificação eletrónica
Os níveis de garantia reduzidos, substanciais e elevados cumprem, respetivamente, os seguintes critérios:
O nível de garantia reduzido corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança limitado relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de utilização ou alteração indevida da identidade;
O nível de garantia substancial corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança substancial relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de utilização ou alteração indevida da identidade;
O nível de garantia elevado corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança relativamente à identidade declarada ou reivindicada por determinada pessoa mais elevado do que os meios de identificação eletrónica com o nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é evitar a utilização ou a alteração indevida da identidade.
As especificações técnicas mínimas, as normas e os procedimentos são estabelecidos por referência à confiança e qualidade:
Do procedimento para provar e verificar a identidade das pessoas singulares ou coletivas que requeiram a produção do meio de identificação eletrónica;
Do procedimento para a produção do meio de identificação eletrónica solicitado;
Do mecanismo de autenticação através do qual a pessoa singular ou coletiva utiliza o meio de identificação eletrónica para confirmar a sua identidade a um utilizador;
Da entidade que produz os meios de identificação eletrónica;
De qualquer outro organismo implicado no processo de requisição da produção do meio de identificação eletrónica; e
Das especificações técnicas e de segurança do meio de identificação eletrónica produzido.
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 9.o
Notificação
O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:
Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;
O regime de supervisão e de responsabilidade aplicáveis no que diz respeito:
à parte que produz o meio de identificação eletrónica, e
à parte que executa o procedimento de autenticação.
Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;
Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;
Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;
Uma descrição da autenticação referida no artigo 7.o, alínea f);
As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.
Artigo 10.o
Violação da segurança dos sistemas de identificação eletrónica
A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 9.o, n.o 2.
Artigo 11.o
Responsabilidade
Artigo 11.o-A
Determinação de correspondência de identidade a nível transfronteiriço
Artigo 12.o
Interoperabilidade
O quadro de interoperabilidade obedece aos seguintes critérios:
Procurar ser tecnologicamente neutro e não fazer discriminações em relação às soluções técnicas nacionais específicas utilizadas para a identificação eletrónica no Estado-Membro em causa;
Seguir, se possível, as normas europeias e internacionais;
Facilitar o respeito da privacidade e da segurança, desde a conceção;
▼M2 —————
O quadro de interoperabilidade compreende:
A referência aos requisitos técnicos mínimos relacionados com os níveis de garantia previstos no artigo 8.o;
A tabela das correspondências entre os níveis de garantia nacionais dos sistemas de identificação eletrónica notificados e os níveis de garantia previstos no artigo 8.o;
A referência aos requisitos técnicos mínimos para a interoperabilidade;
A referência a um conjunto mínimo de dados de identificação necessários para representar de modo único uma pessoa singular ou coletiva, ou uma pessoa singular que represente outra pessoa singular ou uma pessoa coletiva, disponível a partir de sistemas de identificação eletrónica;
As regras processuais;
As disposições em matéria de resolução de litígios; e
As normas comuns de segurança operacional.
▼M2 —————
Artigo 12.o-A
Certificação de sistemas de identificação eletrónica
Artigo 12.o-B
Acesso a funcionalidades de hardware e de software
Caso os fornecedores de carteiras europeias de identidade digital e os emitentes de meios de identificação eletrónica notificados que atuem a título comercial ou profissional e utilizem serviços essenciais de plataforma na aceção do artigo 2.o, ponto 2, do Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho ( 7 ) para efeitos, ou no decurso da prestação de serviços de carteira europeia de identidade digital e de meios de identificação eletrónica aos utentes finais, sejam utilizadores profissionais na aceção do artigo 2.o, ponto 21, do mesmo regulamento, os controladores de acesso permitem-lhes, nomeadamente, a interoperabilidade efetiva e, para efeitos de interoperabilidade, o acesso ao mesmo sistema operativo ou funcionalidades de hardware ou de software. Essa interoperabilidade efetiva e o acesso são permitidos a título gratuito e independentemente de as funcionalidades de hardware ou de software fazerem parte do sistema operativo, estarem disponíveis ou serem utilizados por esse controlador de acesso aquando da prestação desses serviços, na aceção do artigo 6.o, n.o 7, do Regulamento (UE) 2022/1925. O presente artigo não prejudica o disposto no artigo 5.o-A, n.o 14, do presente regulamento.
CAPÍTULO III
SERVIÇOS DE CONFIANÇA
SECÇÃO 1
Disposições gerais
Artigo 13.o
Responsabilidade e ónus da prova
O ónus da prova do dolo ou negligência de um prestador não qualificado de serviços de confiança recai sobre a pessoa singular ou coletiva que intente a ação de indemnização pelos danos referidos no n.o 1.
Presume-se a existência de dolo ou negligência por parte de um prestador qualificado de serviços de confiança exceto se este provar que os danos referidos no primeiro parágrafo não foram causados com dolo ou negligência por parte desse prestador qualificado de serviços de confiança.
Artigo 14.o
Aspetos internacionais
Os atos de execução referidos no primeiro parágrafo são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 15.o
Acessibilidade para as pessoas com deficiência e necessidades especiais
Os meios de identificação eletrónica, os serviços de confiança e os produtos destinados ao utente final que são utilizados na prestação desses serviços são disponibilizados em linguagem clara e inteligível, em conformidade com a Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência e com os requisitos de acessibilidade da Diretiva (UE) 2019/882, beneficiando assim também as pessoas com limitações funcionais, como os idosos, e as pessoas com acesso limitado às tecnologias digitais.
Artigo 16.o
Sanções
Os Estados-Membros asseguram que as infrações ao presente regulamento por prestadores qualificados e não qualificados de serviços de confiança sejam passíveis de coimas de um montante máximo de, pelo menos:
5 000 000 EUR se o prestador de serviços de confiança for uma pessoa singular; ou
Se o prestador de serviços de confiança for uma pessoa coletiva, 5 000 000 EUR ou 1 % do volume de negócios anual total a nível mundial da empresa a que o prestador de serviços de confiança pertencia no exercício anterior ao ano em que ocorreu a infração, consoante o que for mais elevado.
SECÇÃO 2
Serviços de confiança não qualificados
▼M2 —————
▼M1 —————
Artigo 19.o-A
Requisitos aplicáveis aos prestadores não qualificados de serviços de confiança
Os prestadores não qualificados de serviços de confiança que prestam serviços de confiança não qualificados:
Dispõem de políticas adequadas e tomam as medidas correspondentes para gerir riscos jurídicos, comerciais, operacionais e outros riscos diretos ou indiretos relacionados com a prestação de serviços de confiança não qualificados, as quais devem, não obstante o disposto no artigo 21.o da Diretiva (UE) 2022/2555, incluir, pelo menos, as relacionadas com:
os procedimentos de registo e adesão a um serviço de confiança,
os controlos processuais ou administrativos necessários para prestar serviços de confiança,
a gestão e implementação de serviços de confiança;
Notificam a entidade supervisora, as pessoas afetadas identificáveis, o público, se for de interesse público, e, se for caso disso, outras autoridades competentes, de quaisquer violações da segurança ou perturbações na prestação do serviço ou na aplicação das medidas referidas na alínea a), subalínea i), ii) ou iii), que tenham um impacto significativo no serviço de confiança prestado ou nos dados pessoais nele conservados, sem demora indevida e, em qualquer caso, o mais tardar 24 horas após terem tomado conhecimento de quaisquer violações da segurança ou perturbações.
SECÇÃO 3
Serviços qualificados de confiança
Artigo 20.o
Fiscalização dos prestadores qualificados de serviços de confiança
Se o prestador não corrigir a situação, se aplicável, no prazo fixado pela entidade supervisora, esta última, se tal se justificar, nomeadamente, pela extensão, pela duração e pelas consequências do incumprimento, retira o estatuto de qualificado ao prestador ou ao serviço afetado por ele prestado.
Até 21 de maio de 2025, a Comissão estabelece, por meio de atos de execução, uma lista das normas de referência e, se necessário, estabelece especificações e procedimentos no que diz respeito:
À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.o 1;
Aos requisitos de auditoria para os organismos de avaliação da conformidade efetuarem a avaliação da conformidade, inclusive a avaliação compósita, dos prestadores qualificados de serviços de confiança a que se refere o n.o 1;
Aos sistemas de avaliação da conformidade utilizados pelos organismos de avaliação da conformidade para realizar a avaliação da conformidade dos prestadores qualificados de serviços de confiança e para a apresentação do relatório a que se refere o n.o 1.
Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 21.o
Início de um serviço de confiança qualificado
A fim de verificar se o prestador de serviços de confiança cumpre os requisitos estabelecidos no artigo 21.o da Diretiva (UE) 2022/2555, a entidade supervisora solicita às autoridades competentes designadas ou criadas nos termos do artigo 8.o, n.o 1, dessa diretiva que realizem ações de supervisão nesse sentido e prestem informações sobre o resultado, sem demora indevida e, em qualquer caso, no prazo de dois meses a contar da receção desse pedido. Se a verificação não ficar concluída no prazo de dois meses a contar da notificação, a autoridade competente informa a entidade supervisora, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.
Se concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos previstos no presente regulamento, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo.
Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.
Artigo 22.o
Listas de confiança
Artigo 23.o
Marca de confiança «UE» para serviços de confiança qualificados
Artigo 24.o
Requisitos aplicáveis aos prestadores qualificados de serviços de confiança
A verificação da identidade referida no n.o 1 é efetuada, pelos meios adequados, pelos prestadores qualificados de serviços de confiança, diretamente ou através de um terceiro, com base num dos seguintes métodos ou numa combinação dos mesmos, quando necessário, em conformidade com os atos de execução a que se refere o n.o 1-C:
Através da carteira europeia de identidade digital ou de um meio de identificação eletrónica notificado que satisfaça os requisitos estabelecidos no artigo 8.o no que diz respeito ao nível de garantia elevado;
Através de um certificado qualificado de assinatura eletrónica ou de um selo eletrónico qualificado emitido em cumprimento da alínea a), c) ou d);
Utilizando outros métodos de identificação que garantam a identificação da pessoa com um elevado nível de certeza, cuja conformidade é atestada por um organismo de avaliação da conformidade;
Pela presença física da pessoa singular ou de um representante autorizado da pessoa coletiva, através de elementos de prova adequados e procedimentos, em conformidade com o direito nacional.
A verificação dos atributos referida no n.o 1 é efetuada, pelos meios adequados, pelos prestadores qualificados de serviços de confiança, diretamente ou através de um terceiro, com base num dos seguintes métodos ou, caso seja necessário, numa combinação dos mesmos, em conformidade com os atos de execução a que se refere o n.o 1-C:
Através da carteira europeia de identidade digital ou de um meio de identificação eletrónica notificado que satisfaça os requisitos estabelecidos no artigo 8.o no que diz respeito ao nível de garantia elevado;
Através de um certificado qualificado de assinatura eletrónica ou de um selo eletrónico qualificado emitido em conformidade com o n.o 1-A, alínea a), c) ou d);
Através de uma validação qualificada de certificados eletrónicos de atributos;
Utilizando outros métodos que garantam a verificação dos atributos com um elevado nível de confiança, cuja conformidade é atestada por um organismo de avaliação da conformidade;
Através da presença física da pessoa singular ou de um representante autorizado da pessoa coletiva, através de elementos de prova adequados e procedimentos, em conformidade com o direito nacional.
Os prestadores qualificados de serviços de confiança que prestam serviços de confiança qualificados:
Informam a entidade supervisora pelo menos um mês antes de implementar qualquer alteração da prestação dos seus serviços de confiança qualificados ou, pelo menos, três meses antes em caso de intenção de cessar essas atividades;
Empregam pessoal e, eventualmente, subcontratantes que possuam a especialização, a confiança, experiência e as qualificações necessárias e que tenham recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais e aplicam procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais;
Face ao risco da responsabilidade por danos prevista no artigo 13.o, conservam recursos financeiros suficientes e/ou adquirem um seguro de responsabilidade adequado, de acordo com a legislação nacional;
Antes de estabelecerem uma relação contratual, informam, de forma clara, completa e facilmente acessível, num espaço acessível ao público e individualmente, as pessoas que pretendam utilizar serviços de confiança qualificados dos termos e condições exatos da utilização de tais serviços, incluindo de qualquer limitação à sua utilização;
Utilizam sistemas e produtos fiáveis que estejam protegidos contra modificações e garantam a segurança e a fiabilidade técnicas dos processos de que são suporte, incluindo a utilização de técnicas criptográficas adequadas;
Utilizam sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que:
os dados apenas estejam publicamente disponíveis para extração se tiver sido obtido o consentimento da pessoa a quem os dados digam respeito,
apenas as pessoas autorizadas possam introduzir dados e alterações aos dados armazenados,
a autenticidade dos dados possa ser verificada;
Não obstante o disposto no artigo 21.o da Diretiva (UE) 2022/2555, dispõem de políticas adequadas e tomam as medidas correspondentes para gerir riscos jurídicos, comerciais, operacionais e outros riscos diretos ou indiretos relacionados com a prestação de serviços de confiança qualificados, incluindo, pelo menos, medidas relacionadas com:
os procedimentos de registo e adesão a um serviço,
os controlos processuais ou administrativos,
a gestão e implementação de serviços;
Notificam a entidade supervisora, as pessoas afetadas identificáveis, outros organismos competentes relevantes, se for caso disso, e, a pedido da entidade supervisora, o público, se tal for de interesse público, de quaisquer violações da segurança ou perturbações na prestação do serviço ou na aplicação das medidas referidas na alínea f-A), subalíneas i), ii) ou iii), que tenham um impacto significativo no serviço de confiança prestado ou nos dados pessoais nele conservados, sem demora indevida e, em qualquer caso, no prazo de 24 horas após o incidente;
Tomam as medidas adequadas contra a falsificação, o roubo ou a apropriação indevida dos dados, ou a eliminação, a alteração ou o impedimento do acesso aos dados, na ausência de direito para tal;
Registam e mantêm acessíveis durante o tempo que for necessário depois de o prestador qualificado de serviços de confiança ter cessado as suas atividades, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador qualificado de serviços de confiança, para efeitos de apresentação de provas em processos judiciais e para garantir a continuidade do serviço. Esse registo poderá ser feito por via eletrónica;
Conservam um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições verificadas pela entidade supervisora nos termos do artigo 46.o-B, n.o 4, alínea i);
▼M2 —————
Criam e mantêm atualizada uma base de dados de certificados, quando emitam certificados qualificados.
A entidade supervisora pode solicitar informações para além das informações notificadas nos termos da alínea a) do primeiro parágrafo ou do resultado de uma avaliação da conformidade e pode condicionar a concessão da autorização para implementar as alterações pretendidas dos serviços de confiança qualificados. Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação deve estar concluída.
Artigo 24.o-A
Reconhecimento de serviços de confiança qualificados
SECÇÃO 4
Assinaturas eletrónicas
Artigo 25.o
Efeitos legais das assinaturas eletrónicas
▼M2 —————
Artigo 26.o
Requisitos para as assinaturas eletrónicas avançadas
A assinatura eletrónica avançada obedece aos seguintes requisitos:
Estar associada de modo único ao signatário;
Permitir identificar o signatário;
Ser criada utilizando dados para a criação de uma assinatura eletrónica que o signatário pode, com um elevado nível de confiança, utilizar sob o seu controlo exclusivo; e
Estar ligada aos dados por ela assinados de tal modo que seja detetável qualquer alteração posterior dos dados.
Artigo 27.o
Assinaturas eletrónicas em serviços públicos
▼M2 —————
Artigo 28.o
Certificados qualificados de assinaturas eletrónicas
Os Estados-Membros podem estabelecer regras nacionais sobre a suspensão temporária dos certificados qualificados de uma assinatura eletrónica na condição de:
O certificado qualificado de assinatura eletrónica que tiver sido suspenso temporariamente perder a sua validade durante o período da suspensão.
O período de suspensão ser claramente indicado na base de dados de certificados e, durante o período pertinente, o estatuto de suspensão ser visível para o serviço que presta informações sobre o estatuto dos certificados.
Artigo 29.o
Requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrónicas
Artigo 29.o-A
Requisitos aplicáveis a um serviço qualificado para a gestão de dispositivos qualificados de criação de assinaturas eletrónicas à distância
A gestão de dispositivos qualificados de criação de assinaturas eletrónicas à distância enquanto serviço qualificado só pode ser realizada por um prestador qualificado de serviços de confiança que:
Proceda à geração ou à gestão de dados para a criação de uma assinatura eletrónica em nome do signatário;
Não obstante o disposto no ponto 1, alínea d), do anexo II, duplica os dados para a criação de uma assinatura eletrónica apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:
a segurança dos conjuntos de dados duplicados está ao mesmo nível da dos conjuntos de dados originais,
o número de conjuntos de dados duplicados não excede o mínimo necessário para garantir a continuidade do serviço;
Cumpra todos os requisitos identificados no relatório de certificação do específico dispositivo qualificado de criação de assinaturas eletrónicas à distância emitido nos termos do artigo 30.o.
Artigo 30.o
Certificação dos dispositivos qualificados de criação de assinaturas eletrónicas
A certificação referida no n.o 1 é baseada:
Num processo de avaliação de segurança executado de acordo com as normas da avaliação de segurança dos produtos informáticos constantes da lista elaborada nos termos do segundo parágrafo; ou
Num processo diferente do referido na alínea a), desde que esse processo utilize níveis de segurança comparáveis e a entidade pública ou privada referida no n.o 1 notifique esse processo à Comissão. Esse processo só pode ser utilizado na falta das normas constantes da alínea a) ou se estiver em curso um processo de avaliação de segurança referido na alínea a).
A Comissão deve, por meio de atos de execução, elaborar a lista de normas da avaliação de segurança dos produtos informáticos a que se refere a alínea a). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 8.o.
Artigo 31.o
Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas
Artigo 32.o
Requisitos aplicáveis à validade das assinaturas eletrónicas qualificadas
O processo de validação de uma assinatura eletrónica qualificada confirma a validade desta na condição de:
No momento da assinatura, o certificado que lhe serve de suporte ser um certificado qualificado de assinatura eletrónica conforme com o disposto no anexo I;
O certificado qualificado ter sido emitido por um prestador qualificado de serviços de confiança e ser válido no momento da assinatura;
Os dados para a validação da assinatura corresponderem aos dados fornecidos ao utilizador;
O conjunto único de dados que representam o signatário no certificado serem corretamente fornecidos ao utilizador;
A utilização de um pseudónimo no momento da assinatura ser claramente indicada ao utilizador;
A assinatura eletrónica ter sido criada por um dispositivo qualificado de criação de assinatura eletrónica;
A integridade dos dados assinados não ter sido afetada;
Os requisitos previstos no artigo 26.o se encontrarem preenchidos no momento da assinatura;
A validação de assinaturas eletrónicas qualificadas que cumpre as normas, especificações e procedimentos referidos no n.o 3 beneficia da presunção de conformidade com os requisitos estabelecidos no primeiro parágrafo do presente número.
Artigo 32.o-A
Requisitos para a validação de assinaturas eletrónicas avançadas com base em certificados qualificados
O processo de validação de uma assinatura eletrónica avançada baseado num certificado qualificado atesta a validade de uma assinatura eletrónica avançada baseada num certificado qualificado, desde que:
No momento da assinatura, o certificado que lhe serve de suporte seja um certificado qualificado para assinatura eletrónica conforme com o disposto no anexo I;
O certificado qualificado tenha sido emitido por um prestador qualificado de serviços de confiança e tenha sido válido no momento da assinatura;
Os dados para a validação da assinatura correspondam aos dados fornecidos ao utilizador;
O conjunto único de dados que representam o signatário no certificado sejam corretamente fornecidos ao utilizador;
A utilização de um pseudónimo no momento da assinatura seja claramente indicada ao utilizador;
A integridade dos dados assinados não tenha sido afetada;
Os requisitos previstos no artigo 26.o se encontrassem preenchidos no momento da assinatura.
Artigo 33.o
Serviço qualificado de validação de assinaturas eletrónicas qualificadas
Os serviços qualificados de validação de assinaturas eletrónicas qualificadas só podem ser prestados por prestadores qualificados de serviços de confiança que:
Efetuem a validação em conformidade com o artigo 32.o, n.o 1, e
Permitam aos utilizadores receber o resultado do processo de validação de um modo automático que seja fiável e eficaz e que inclua a assinatura eletrónica avançada ou o selo eletrónico avançado do prestador do serviço qualificado de validação.
Artigo 34.o
Serviço qualificado de preservação de assinaturas eletrónicas qualificadas
SECÇÃO 5
Selos eletrónicos
Artigo 35.o
Efeitos legais dos selos eletrónicos
▼M2 —————
Artigo 36.o
Requisitos para os selos eletrónicos avançados
O selo eletrónico avançado obedece aos seguintes requisitos:
Estar associado de modo único ao seu criador;
Permitir identificar o seu criador;
Ser criado através dos dados de criação de selos eletrónicos cujo criador pode, com um elevado nível de confiança e sob o seu controlo, utilizar para a criação de um selo eletrónico; e
Estar ligado aos dados a que diz respeito de tal modo que seja detetável qualquer alteração posterior dos dados.
Artigo 37.o
Selos eletrónicos em serviços públicos
▼M2 —————
Artigo 38.o
Certificados qualificados de selos eletrónicos
Os Estados-Membros podem estabelecer regras nacionais sobre a suspensão temporária dos certificados qualificados de selos eletrónicos na condição de:
O certificado qualificado de selo eletrónico que tiver sido suspenso temporariamente perder a sua validade durante o período da suspensão;
O período de suspensão ser claramente indicado na base de dados de certificados e, durante o período pertinente, o estatuto de suspensão ser visível para o serviço que presta informações sobre o estatuto dos certificados.
Artigo 39.o
Dispositivos qualificados de criação de selos eletrónicos
Artigo 39.o-A
Requisitos aplicáveis a um serviço qualificado para a gestão de dispositivos qualificados de criação de selos eletrónicos à distância
O artigo 29.o-A aplica-se mutatis mutandis a um serviço qualificado para a gestão de dispositivos qualificados de criação de selos eletrónicos à distância.
Artigo 40.o
Validação e preservação dos selos eletrónicos qualificados
Os artigos 32.o, 33.o e 34.o aplicam-se com as necessárias adaptações à validação e à preservação dos selos eletrónicos qualificados.
Artigo 40.o-A
Requisitos para a validação de selos eletrónicos avançados com base em certificados qualificados
O artigo 32.o-A aplica-se mutatis mutandis à validação dos selos eletrónicos avançados com base em certificados qualificados.
SECÇÃO 6
Selos temporais
Artigo 41.o
Efeito legal dos selos temporais
▼M2 —————
Artigo 42.o
Requisitos aplicáveis aos selos temporais qualificados
Os selos temporais qualificados cumprem os seguintes requisitos:
Vincular a data e a hora aos dados de forma a tornar razoavelmente impossível a alteração dos dados de forma não detetável;
Basear-se numa fonte horária precisa ligada à Hora Universal Coordenada; e
Ser assinado utilizando uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador qualificado de serviços de confiança, ou por outro método equivalente.
SECÇÃO 7
Serviço de envio registado eletrónico
Artigo 43.o
Efeito legal dos serviços de envio registado eletrónico
Artigo 44.o
Requisitos aplicáveis aos serviços qualificados de envio registado eletrónico
Os serviços qualificados de envio registado eletrónico satisfazem os seguintes requisitos:
Serem efetuados por um ou mais prestadores qualificados de serviços de confiança;
Garantirem, com um elevado nível de confiança, a identificação do remetente;
Garantir a identificação do destinatário antes da entrega dos dados;
O envio e a receção dos dados serem securizados por uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador qualificado de serviços de confiança, de modo a tornar impossível a alteração dos dados de forma não detetável;
Qualquer alteração a que devam ser sujeitos para o seu envio ou receção ser claramente indicada ao remetente e ao destinatário dos dados;
A data e a hora do envio e da receção, assim como as eventuais alterações dos dados, serem indicadas por meio de um selo temporal qualificado;
Se os dados forem transferidos entre dois ou mais prestadores qualificados de serviços de confiança, os requisitos das alíneas a) a f) serem aplicados a todos eles.
SECÇÃO 8
Autenticação de sítios web
Artigo 45.o
Requisitos aplicáveis aos certificados qualificados de autenticação de sítios Web
Artigo 45.o-A
Medidas de precaução em matéria de cibersegurança
SECÇÃO 9
Certificado eletrónico de atributos
Artigo 45.o-B
Efeitos legais do certificado eletrónico de atributos
Artigo 45.o-C
Certificado eletrónico de atributos em serviços públicos
Quando o direito nacional exigir uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação para aceder a um serviço em linha prestado por um organismo público, os dados de identificação pessoal constantes do certificado eletrónico de atributos não substituem a identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação para fins de identificação eletrónica, salvo se especificamente autorizado pelo Estado-Membro. Nesse caso, também são aceites os certificados eletrónicos qualificados de atributos de outros Estados-Membros.
Artigo 45.o-D
Requisitos aplicáveis aos certificados eletrónicos qualificados de atributos
Artigo 45.o-E
Verificação de atributos por confronto com fontes autênticas
Artigo 45.o-F
Requisitos para o certificado eletrónico de atributos emitido por ou em nome de um organismo do setor público responsável por uma fonte autêntica
Um certificado eletrónico de atributos emitido por ou em nome de um organismo do setor público responsável por uma fonte autêntica satisfaz os seguintes requisitos:
Aqueles estabelecidos no anexo VII;
O certificado qualificado que sustenta a assinatura eletrónica qualificada ou do selo eletrónico qualificado do organismo do setor público a que se refere o artigo 3.o, ponto 46), identificado como o emitente a que se refere o anexo VII, alínea b), contém um conjunto específico de atributos certificados numa forma adequada para o tratamento automático e que:
indica que o organismo emissor está estabelecido, em conformidade com o direito da União ou nacional, como responsável pela fonte autêntica com base na qual é emitido o certificado eletrónico de atributos, ou como organismo designado para agir em seu nome,
fornece um conjunto de dados que representem inequivocamente a fonte autêntica referida na subalínea i), e
identifica o direito da União ou nacional referido na subalínea i).
Artigo 45.o-G
Emissão de certificados eletrónicos de atributos para as carteiras europeias de identidade digital
Artigo 45.o-H
Regras adicionais para a prestação de serviços de certificados eletrónicos de atributos
SECÇÃO 10
Serviços de arquivo eletrónico
Artigo 45.o-I
Efeito legal de serviços de arquivo eletrónico
Artigo 45.o-J
Requisitos aplicáveis aos serviços qualificados de arquivo eletrónico
Os serviços qualificados de arquivo eletrónico satisfazem os seguintes requisitos:
São fornecidos por prestadores qualificados de serviços de confiança;
Utilizam procedimentos e tecnologias capazes de assegurar a durabilidade e a legibilidade de dados eletrónicos e de documentos eletrónicos para além do período de validade tecnológica e, pelo menos, ao longo do período de conservação legal ou contratual, preservando simultaneamente a sua integridade e a precisão da sua origem;
Asseguram que esses dados eletrónicos e esses documentos eletrónicos são conservados de modo a estarem protegidos contra a perda e a alteração, exceto no que diz respeito às alterações do seu suporte ou formato eletrónico;
Permitem que aos utilizadores autorizadas recebam um relatório de forma automatizada que confirme que dados eletrónicos e documentos eletrónicos extraídos de um arquivo eletrónico qualificado beneficiam da presunção de integridade dos dados desde o início do período de conservação até ao momento da sua extração.
O relatório referido na alínea d) do primeiro parágrafo é apresentado de forma fiável e eficiente e ostenta a assinatura eletrónica qualificada ou o selo eletrónico qualificado do prestador do serviço qualificado de arquivo eletrónico.
SECÇÃO 11
Livros-razão eletrónicos
Artigo 45.o-K
Efeitos legais dos livros-razão eletrónicos
Artigo 45.o-L
Requisitos aplicáveis aos livros-razão eletrónicos qualificados
Os livros-razão eletrónicos qualificados satisfazem os seguintes requisitos:
São criados e geridos por um ou mais prestadores qualificados de serviços de confiança;
Estabelecem a origem dos registos de dados no livro-razão;
Asseguram a ordem cronológica única e sequencial dos registos de dados no livro-razão;
Registam os dados de forma a que qualquer alteração subsequente dos mesmos seja imediatamente detetável, garantindo a sua integridade ao longo do tempo.
CAPÍTULO IV
DOCUMENTOS ELETRÓNICOS
Artigo 46.o
Efeitos legais dos documentos eletrónicos
Não podem ser negados efeitos legais nem admissibilidade enquanto prova em processo judicial a um documento eletrónico pelo simples facto de se apresentar em formato eletrónico.
CAPÍTULO IV-A
REGIME DE GOVERNAÇÃO
Artigo 46.o-A
Supervisão do Regime para a carteira europeia de identidade digital
As entidades supervisoras designadas nos termos do primeiro parágrafo são dotadas dos poderes necessários e dos recursos adequados para o exercício das suas funções de forma eficaz, eficiente e independente.
As entidades supervisoras designadas nos termos do n.o 1 têm as seguintes funções:
Supervisionar os fornecedores de carteiras europeias de identidade digital estabelecidos no Estado-Membro que procedeu à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os fornecedores e as carteiras europeias de identidade digital por eles fornecidas cumprem os requisitos estabelecidos no presente regulamento;
Tomar medidas, se necessário, em relação aos fornecedores de carteiras europeias de identidade digital estabelecidos no território do Estado-Membro que procedeu à designação, por meio de atividades de supervisão a posteriori, sempre que sejam informados de que os fornecedores ou as carteiras europeias de identidade digital por eles fornecidas violam o presente regulamento.
As funções das entidades supervisoras designadas nos termos do n.o 1 incluem nomeadamente:
Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos dos artigos 46.o-C e 46.o-E;
Solicitar as informações necessárias para controlar o cumprimento do presente regulamento;
Informar as autoridades competentes dos Estados-Membros em causa, designadas ou criadas nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555, de quaisquer violações significativas da segurança ou perda de integridade de que tomem conhecimento no exercício das suas funções e, em caso de violação significativa da segurança ou perda de integridade que diga respeito a outros Estados-Membros, informar o ponto de contacto único designado ou criado nos termos do artigo 8.o, n.o 3, da Diretiva (UE) 2022/2555 do Estado-Membro em causa e o ponto de contacto único designado nos termos do artigo 46.o-C, n.o 1, do presente regulamento nos restantes Estados-Membros em causa, e informar o público ou exigir que os fornecedores da carteira europeia de identidade digital o façam, caso a entidade supervisora determine que a divulgação da violação da segurança ou da perda de integridade seja do interesse público;
Realizar inspeções no local e efetuar a supervisão fora do local;
Exigir que os fornecedores de carteiras europeias de identidade digital corrijam eventuais incumprimentos dos requisitos previstos no presente regulamento;
Suspender ou cancelar o registo e a inclusão dos utilizadores no mecanismo a que se refere o artigo 5.o-B, n.o 7, em caso de utilização ilegal ou fraudulenta da carteira europeia de identidade digital;
Cooperar com as autoridades de controlo competentes criadas nos termos do artigo 51.o do Regulamento (UE) 2016/679, nomeadamente informando-as sem demora indevida se houver suspeita de as regras de proteção de dados pessoais terem sido violadas e sobre violações da segurança que pareçam constituir violações dos dados pessoais.
Artigo 46.o-B
Supervisão dos serviços de confiança
As entidades supervisoras designadas nos termos do primeiro parágrafo são dotadas dos poderes necessários e dos recursos adequados para o exercício das suas funções.
As entidades supervisoras designadas nos termos do n.o 1 têm as seguintes funções:
Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procedeu à designação e assegurar, por meio de atividades de supervisão a priori e a posteriori, que os prestadores qualificados de serviços de confiança e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento;
Se necessário, tomar medidas face aos prestadores não qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procedeu à designação, por meio de atividades de supervisão a posteriori, se for informado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento.
As funções da entidade supervisora designada nos termos do n.o 1 incluem nomeadamente:
Informar as autoridades competentes dos Estados-Membros em causa, designadas ou criadas nos termos do artigo 8.o, n.o 1, da Diretiva (UE) 2022/2555, de qualquer violação significativa da segurança ou perda de integridade de que tome conhecimento no exercício das suas funções e, em caso de violação significativa da segurança ou perda de integridade que diga respeito a outros Estados-Membros, informar o ponto de contacto único designado ou criado nos termos do artigo 8.o, n.o 3, da Diretiva (UE) 2022/2555 do Estado-Membro em causa e os pontos de contacto único designados nos termos do artigo 46.o-C, n.o 1, do presente regulamento nos restantes Estados-Membros em causa, e informar o público ou exigir que o prestador de serviços de confiança o faça, caso a entidade supervisora determine que a divulgação da violação da segurança ou da perda de integridade seja do interesse público;
Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos dos artigos 46.o-C e 46.o-E;
Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1;
Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6;
Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2;
Cooperar com as autoridades de controlo competentes criadas nos termos do artigo 51.o do Regulamento (UE) 2016/679, nomeadamente informando-as, sem demora indevida, se houver suspeita de as regras de proteção de dados pessoais terem sido violadas e sobre violações da segurança que pareçam constituir violações dos dados pessoais;
Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o;
Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora designada nos termos do n.o 1 do presente artigo;
Verificar a existência e correta aplicação das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h);
Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento;
Investigar as alegações apresentadas pelos fornecedores de navegadores Web nos termos do artigo 45.o-A e tomar medidas, se necessário.
Artigo 46.o-C
Pontos de contacto único
Artigo 46.o-D
Assistência mútua
A assistência mútua implica, pelo menos, que:
A entidade supervisora que aplica medidas de supervisão e de execução num Estado-Membro informa e consulta a entidade supervisora do outro Estado-Membro em causa;
Uma entidade supervisora pode solicitar à entidade supervisora de outro Estado-Membro em causa que tome medidas de supervisão ou de execução, incluindo, por exemplo, pedidos de realização de inspeções relacionadas com os relatórios de avaliação da conformidade a que se referem os artigos 20.o e 21.o relativos à prestação de serviços de confiança;
Se for caso disso, as entidades supervisoras podem realizar investigações conjuntas com as entidades supervisoras de outros Estados-Membros.
As disposições e os procedimentos aplicáveis às ações conjuntas ao abrigo do primeiro parágrafo são acordadas e estabelecidas pelos Estados-Membros em causa nos termos do seu direito nacional.
A entidades supervisora à qual tenham sido dirigidos pedidos de assistências pode indeferi-los por qualquer dos seguintes motivos:
A assistência solicitada não é proporcional às atividades de supervisão da entidades supervisora realizadas nos termos do disposto nos artigos 46.o-A e 46.o-B;
A entidade supervisora não é competentes para prestar a assistência solicitada;
Prestar a assistência solicitada seria incompatível com o presente regulamento.
Artigo 46.o-E
Grupo de Cooperação Europeia para a Identidade Digital
As funções do grupo de cooperação são as seguintes:
Proceder ao intercâmbio de aconselhamentos e cooperar com a Comissão sobre iniciativas estratégicas emergentes no domínio das carteiras de identidade digital, dos meios de identificação eletrónica e dos serviços de confiança;
Aconselhar a Comissão, se for caso disso, na fase incipiente da elaboração de projetos de atos de execução e de atos delegados a adotar nos termos do presente regulamento;
A fim de apoiar as entidades supervisoras na aplicação das disposições do presente regulamento:
proceder ao intercâmbio de boas práticas e informações sobre a aplicação das disposições do presente regulamento,
analisar os aspetos importantes da evolução nos setores da carteira de identidade digital, da identificação eletrónica e dos serviços de confiança,
organizar reuniões conjuntas com partes interessadas de toda a União para discutir as atividades desenvolvidas pelo grupo de cooperação e partilhar pontos de vista sobre novos desafios políticos,
com o apoio da ENISA, proceder à troca de pontos de vista, boas práticas e informações sobre os aspetos de cibersegurança pertinentes relativos às carteiras europeias de identidade digital, aos sistemas de identificação eletrónica e aos serviços de confiança,
proceder ao intercâmbio boas práticas relativamente ao desenvolvimento e à aplicação de políticas em matéria de notificação de violações da segurança e medidas comuns a que se referem os artigos 5.o-E e 10.o,
organizar reuniões conjuntas com o grupo de cooperação SRI criado nos termos do artigo 14.o, n.o 1, da Diretiva (UE) 2022/2555 para proceder ao intercâmbio de informações pertinentes em relação aos serviços de confiança e à identificação eletrónica relacionadas com ciberameaças, incidentes, vulnerabilidades, iniciativas de sensibilização, ações de formação, exercícios e competências, reforço das capacidades, capacidade em matéria de normas e especificações técnicas, bem como normas e especificações técnicas,
debater, a pedido de uma entidade supervisora, os pedidos específicos de assistência mútua a que se refere o artigo 46.o-D,
facilitar o intercâmbio de informações entre as entidades supervisoras, fornecendo orientações sobre os aspetos organizacionais e os procedimentos de assistência mútua a que se refere o artigo 46.o-D;
Organizar as avaliações pelos pares dos sistemas de identificação eletrónica a notificar nos termos presente regulamento.
CAPÍTULO V
DELEGAÇÕES DE PODER E DISPOSIÇÕES DE EXECUÇÃO
Artigo 47.o
Exercício da delegação
Artigo 48.o
Procedimento de comité
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Artigo 48.o-A
Obrigações de comunicação de informações
As estatísticas recolhidas em conformidade com o disposto no n.o 1 incluem o seguinte:
O número de pessoas singulares e coletivas que têm uma carteira europeia de identidade digital válida;
O tipo e número de serviços que aceitam a utilização da carteira europeia de identidade digital;
O número de queixas dos utentes e incidentes em matéria de proteção dos consumidores ou de proteção de dados relacionados com os utilizadores e os serviços de confiança qualificados;
Um relatório de síntese, incluindo dados sobre incidentes que impedem a utilização da carteira europeia de identidade digital;
Um resumo dos incidentes de segurança significativos, violações de dados e utentes afetados das carteiras europeias de identidade digital ou dos serviços de confiança qualificados.
Artigo 49.o
Revisão
Artigo 50.o
Revogação
Artigo 51.o
Medidas transitórias
Artigo 52.o
Entrada em vigor
O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:
Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3, 24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;
Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;
O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
ANEXO I
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA
Os certificados qualificados de assinatura eletrónica contêm:
Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;
Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;
Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;
A indicação do início e do termo da validade do certificado;
O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);
A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;
Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.
ANEXO II
REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS
1. Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:
A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;
Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;
Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;
Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.
2. Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.
▼M2 —————
ANEXO III
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS
Os certificados qualificados de selos eletrónicos contêm:
Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;
Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;
Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;
A indicação do início e do termo da validade do certificado;
O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);
A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;
Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.
ANEXO IV
REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS
Os certificados qualificados de autenticação de sítios web contêm:
Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;
Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e
Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido; caso seja utilizado um pseudónimo, este deve ser claramente indicado como tal;
Para as pessoas coletivas: um conjunto único de dados que representem inequivocamente a pessoa coletiva à qual o certificado é emitido, com, pelo menos o nome da pessoa coletiva à qual o certificado é emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;
Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;
O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;
A indicação do início e do termo da validade do certificado;
O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;
A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;
O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);
A informação ou a localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir da validade do certificado qualificado.
ANEXO V
REQUISITOS APLICÁVEIS AOS CERTIFICADOS ELETRÓNICOS QUALIFICADOS DE ATRIBUTOS
Os certificados eletrónicos qualificados de atributos contêm:
Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado eletrónico qualificado de atributos;
Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados eletrónicos qualificados de atributos, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e:
para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,
para as pessoas singulares: o nome da pessoa;
Um conjunto de dados que representem inequivocamente a entidade à qual os atributos certificados se referem; caso seja utilizado um pseudónimo, este deve ser claramente indicado como tal;
O ou os atributos certificados, incluindo, se for caso disso, as informações necessárias para identificar o âmbito desses atributos;
A indicação do início e do termo da validade do certificado;
O código de identificação do certificado, que deve ser único para o prestador qualificado de serviços de confiança e, se aplicável, a indicação do sistema de certificação de que o certificado de atributos faz parte;
A assinatura eletrónica qualificada ou o selo eletrónico qualificado do prestador qualificado de serviços de confiança emitente;
O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica qualificada ou o selo eletrónico qualificado a que se refere a alínea g);
A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado.
ANEXO VI
LISTA MÍNIMA DE ATRIBUTOS
Em conformidade com o artigo 45.o-E, os Estados-Membros asseguram que sejam tomadas medidas que permitam aos prestadores qualificados de serviços de confiança de certificados eletrónicos de atributos verificar por via eletrónica, a pedido do utente, a autenticidade dos seguintes atributos, por confronto com a fonte autêntica pertinente a nível nacional ou através de intermediários designados reconhecidos a nível nacional, em conformidade com o direito nacional ou da União, e caso esses atributos se baseiem em fontes autênticas do setor público:
Endereço;
Idade;
Género;
Estado civil;
Composição do agregado familiar;
Nacionalidade ou cidadania;
Habilitações literárias, títulos e licenças;
Qualificações profissionais, títulos e licenças;
Poderes e mandatos para representar pessoas singulares ou coletivas;
Autorizações e licenças públicas;
Para as pessoas coletivas, dados financeiros e das empresas.
ANEXO VII
REQUISITOS PARA O CERTIFICADO ELETRÓNICO DE ATRIBUTOS EMITIDO POR UM ORGANISMO DO SETOR PÚBLICO RESPONSÁVEL POR UMA FONTE AUTÊNTICA OU EM SEU NOME
Um certificado eletrónico de atributos emitido por um organismo público responsável por uma fonte autêntica ou em seu nome contém:
Uma indicação, pelo menos numa forma adequada ao tratamento automático, de que o certificado foi emitido sob a forma de certificado eletrónico de atributos, emitido por um organismo público responsável por uma fonte autêntica ou em seu nome;
Um conjunto de dados que representem inequivocamente o organismo público que emite o certificado eletrónico de atributos, incluindo, pelo menos, o Estado-Membro em que esse organismo público está estabelecido e o seu nome e, se for caso disso, o seu número de registo, tal como indicado nos registos oficiais;
Um conjunto de dados que representem inequivocamente a entidade a que os atributos certificados se referem; caso seja utilizado um pseudónimo, este deve ser claramente indicado como tal;
O atributo ou os atributos certificados, incluindo, se for caso disso, as informações necessárias para identificar o âmbito desses atributos;
A indicação do início e do termo da validade do certificado;
O código de identificação do certificado, que deve ser único para o organismo público emitente e, se aplicável, uma indicação do sistema de certificação do qual o certificado de atributos faz parte;
A assinatura eletrónica qualificada ou o selo eletrónico qualificado do organismo emitente;
O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica qualificada ou o selo eletrónico qualificado a que se refere a alínea g);
A informação ou a localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado.
( 1 ) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).
( 2 ) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).
( 3 ) Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos requisitos de acessibilidade dos produtos e serviços (JO L 151 de 7.6.2019, p. 70).
( 4 ) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).
( 5 ) Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).
( 6 ) Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único para os serviços digitais e que altera a Diretiva 2000/31/CE (Regulamento dos Serviços Digitais) (JO L 277 de 27.10.2022, p. 1).
( 7 ) Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho, de 14 de setembro de 2022, relativo à disputabilidade e equidade dos mercados no setor digital e que altera as Diretivas (UE) 2019/1937 e (UE) 2020/1828 (Regulamento dos Mercados Digitais) (JO L 265 de 12.10.2022, p. 1).
( 8 ) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972, e que revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).