Transações mais seguras na Internet

SÍNTESE DE:

Regulamento (UE) n.^o 910/2014: relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno

SÍNTESE

PARA QUE SERVE ESTE REGULAMENTO?

• O regulamento relativo à identificação eletrónica e aos serviços de confiança (IDeSC) estabelece um novo sistema para a realização de interações eletrónicas em condições seguras em toda a União Europeia (UE) entre os cidadãos, as empresas e as autoridades públicas.
• Visa reforçar a confiança nas transações eletrónicas em toda a UE, aumentar a eficácia dos serviços públicos e privados em linha e o comércio eletrónico. É aplicável:
  • aos sistemas de identificação eletrónica (IDe)* notificados à Comissão Europeia pelos países da UE;
  • aos prestadores de serviços de confiança estabelecidos na UE.
• Elimina os obstáculos existentes à utilização da IDe na UE. Por exemplo, atualmente seria fácil para uma empresa portuguesa candidatar-se a um contrato de serviço público na Suécia, enquanto as subvenções da UE podem ser inteiramente geridas em linha.

PONTOS-CHAVE

Identificação eletrónica

• As IDe emitidas num país da UE devem ser reconhecidas em todos os outros países. Esta medida aplica-se unicamente às IDe que satisfaçam os requisitos do regulamento e que tenham sido notificadas à Comissão e publicadas numa lista. O reconhecimento mútuo das IDe será vinculativo a partir de 28 de setembro de 2018 e facilitará a realização de transações eletrónicas em condições de segurança em toda a UE.
• Os sistemas de IDe devem especificar um de três níveis de garantia (reduzido, substancial, elevado) para o meio de identificação eletrónica produzido ao abrigo do referido sistema. A obrigação de reconhecimento mútuo só se aplica se o organismo público em causa exigir o nível de confiança «substancial» ou «elevado» para conceder acesso ao referido serviço em linha.

Notificação

• Aquando da notificação à Comissão dos sistemas de IDe, os países da UE devem fornecer informações sobre aspetos como:
  • o nível de garantia e o produtor de IDe que integra o sistema em causa;
  • os sistemas de supervisão e de responsabilidade aplicáveis;
  • a entidade que gere o registo dos dados únicos de identificação da pessoa singular ou coletiva;
• Em caso de violação da segurança do regime de identificação eletrónica ou da autenticação, o país da UE notificante deve:
  • suspender ou revogar sem demora a autenticação à escala da UE ou os elementos comprometidos do sistema; e
  • informar desse facto os outros países da UE e a Comissão.

Responsabilidade

• No caso das transações realizadas entre países da UE em que não sejam cumpridas as obrigações impostas pelo regulamento, as partes a seguir indicadas podem ser consideradas responsáveis pelos danos causados deliberadamente ou por negligência, a qualquer pessoa ou entidade:
  • o país da UE notificante;
  • a parte que produz a IDe;
  • a parte que executa o procedimento de autenticação.

Cooperação e interoperabilidade entre países da UE

• Os sistemas de IDe nacionais notificados devem ser interoperáveis. O quadro de interoperabilidade deve ser tecnologicamente neutro e não favorecer soluções técnicas nacionais específicas utilizadas para a IDe.

Serviços de confiança

• O regulamento define os serviços de confiança como sendo serviços prestados mediante remuneração que incluem:
  • a criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados relacionados com estes serviços; ou
  • a criação, verificação e validação de certificados para a autenticação de sítios web; ou
  • a preservação das assinaturas, selos ou certificados eletrónicos relacionados com esses serviços.
• Os prestadores de serviços de confiança estabelecidos na UE são considerados «qualificados» caso satisfaçam os requisitos aplicáveis estabelecidos no presente regulamento. Estão legalmente autorizados a prestar serviços de confiançaqualificados (por exemplo, assinaturas, selos ou certificados eletrónicos qualificados) em todos os países da UE. Os serviços de confiança oferecidos por prestadores de serviços de países não pertencentes à UE podem ser reconhecidos como juridicamente equivalentes aos serviços de confiança qualificados, contudo, tal só é possível se tiver sido celebrado um acordo entre a UE e o país não pertencente à UE em causa ou uma organização internacional.

Supervisão

• Os países da UE devem selecionar uma ou mais entidades para as atividades de supervisão no âmbito do presente regulamento. Estas entidades devem, se necessário, cooperar com as autoridades de proteção de dados.
• Os prestadores de serviços de confiança estão sujeitos a supervisão, bem como a obrigações de gestão dos riscos e de notificação das violações da segurança.
• Os prestadores não qualificados de serviços de confiança estão sujeitos a uma supervisão ligeira, ou seja, a entidade supervisora apenas reage no caso de suspeitas de infração por parte do prestador de serviços.
• Os prestadores qualificados de serviços de confiança estabelecidos na UE estão sujeitos a uma supervisão rigorosa, que inclui a autorização prévia por parte das entidades de supervisão e a realização de uma auditoria, pelo menos de dois em dois anos, por uma organização para avaliar o cumprimento dos requisitos do regulamento.
• A nova marca de confiança «UE» de utilização voluntária identificará os serviços de confiança qualificados prestados pelos prestadores de serviços pertinentes.

Um conjunto de atos adotados pela Comissão Europeia em 2015 estabelece:

• as disposições processuais de cooperação entre países da UE em matéria de identificação eletrónica;
• as especificações relativas à forma da marca de confiança «UE» para serviços de confiança qualificados;
• os requisitos técnicos e operacionais do quadro de interoperabilidade;
• as especificações técnicas mínimas e os procedimentos para a atribuição dos níveis de garantia dos meios de IDe;
• as especificações técnicas e os formatos relativos às listas de confiança;
• as especificações relativas aos formatos das assinaturas eletrónicas avançadas e dos selos eletrónicos avançados para reconhecimento pelos organismos públicos; e
• as circunstâncias, os formatos e os procedimentos para a notificação de sistemas de IDe.

A PARTIR DE QUANDO É APLICÁVEL O REGULAMENTO?

O regulamento é aplicável a partir de 17 de setembro de 2014.

PRINCIPAL TERMO

(*) identificação eletrónica (IDe): formas tangíveis ou intangíveis de identificação que contêm dados de identificação pessoal e são utilizadas para autenticação de um serviço em linha.

ATO

Regulamento (UE) n.^o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73-114)

As sucessivas alterações do Regulamento (UE) n.^o 910/2014 foram integradas no texto de base. A versão consolidada apenas tem valor documental.

última atualização 17.03.2016