|
Jornal Oficial |
PT Série L |
|
2024/2980 |
4.12.2024 |
REGULAMENTO DE EXECUÇÃO (UE) 2024/2980 DA COMISSÃO
de 28 de novembro de 2024
que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante às notificações à Comissão relativas ao ecossistema da carteira europeia de identidade digital
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (1), nomeadamente o artigo 5.o-A, n.o 23,
Considerando o seguinte:
|
(1) |
O Regime Europeu para a Identidade Digital, instituído pelo Regulamento (UE) n.o 910/2014, é uma componente crucial da criação de um ecossistema de identidade digital seguro e interoperável em toda a União. Tendo como pedra angular as carteiras europeias de identidade digital («carteiras»), o regime visa facilitar o acesso aos serviços em todos os Estados-Membros, assegurando simultaneamente a proteção dos dados pessoais e da privacidade. |
|
(2) |
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (2) ou o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (3) e, se for caso disso, a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (4) aplicam-se a todas as atividades de tratamento de dados pessoais ao abrigo do presente regulamento. |
|
(3) |
O artigo 5.o-A, n.o 23, do Regulamento (UE) n.o 910/2014 incumbe a Comissão, se necessário, de estabelecer as especificações e os procedimentos pertinentes. Tal é alcançado através de quatro regulamentos de execução, que abordam os protocolos e as interfaces: Regulamento de Execução (UE) 2024/2982 da Comissão (5), a integridade e as funcionalidades essenciais: Regulamento de Execução (UE) 2024/2979 da Comissão (6), os dados de identificação pessoal e os certificados eletrónicos de atributos: Regulamento de Execução (UE) 2024/2977 da Comissão (7), bem como as notificações à Comissão: Regulamento de Execução (UE) 2024/2980 da Comissão (8). O presente regulamento estabelece os requisitos aplicáveis às notificações pelos Estados-Membros das entidades de confiança que garantem a fiabilidade do Regime Europeu para a Identidade Digital. |
|
(4) |
A Comissão avalia periodicamente as novas tecnologias, práticas, normas ou especificações técnicas. A fim de assegurar o mais elevado nível de harmonização entre os Estados-Membros para o desenvolvimento e a certificação das carteiras, as especificações técnicas estabelecidas no presente regulamento assentam nos trabalhos realizados com base na Recomendação (UE) 2021/946 da Comissão, de 3 de junho de 2021, relativa a um conjunto de instrumentos comuns a nível da União para uma abordagem coordenada do quadro europeu para a identidade digital (9) e, em especial, na arquitetura e no quadro de referência. Em conformidade com o considerando 75 do Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho (10), a Comissão deve rever e atualizar o presente regulamento de execução, se necessário, a fim de assegurar que o mesmo acompanha a evolução mundial, a arquitetura e o regime de referência e de seguir as boas práticas no mercado interno. |
|
(5) |
A fim de cumprir o objetivo de criar uma fonte de informações transparente e fiável para a autenticação de entidades no ecossistema da carteira europeia de identidade digital, como os fornecedores de carteiras, os fornecedores de dados de identificação pessoal e os utilizadores de carteiras, os Estados-Membros devem notificar as informações necessárias através do sistema eletrónico disponibilizado pela Comissão. Em conformidade com a abordagem adotada na Decisão de Execução (UE) 2015/1984 da Comissão (11) que estabelece as circunstâncias, os formatos e os procedimentos para a notificação no que diz respeito aos sistemas de identificação eletrónica aplicáveis a meios de identificação eletrónica, os Estados-Membros devem facultar informações à Comissão em inglês. Desta forma, as descrições dos sistemas de identificação eletrónica estão disponíveis em inglês para todos esses sistemas, independentemente de estarem relacionados com meios de identificação eletrónica ou carteiras. |
|
(6) |
Tendo em vista o mesmo objetivo de criar fontes de informações que permitam a autenticação de entidades no ecossistema da carteira europeia de identidade digital, a Comissão deve criar uma infraestrutura para disponibilizar as informações ao público de forma segura, legível pelas pessoas, clara e facilmente acessível, bem como num formato assinado ou selado por via eletrónica, adequado ao tratamento automático, nomeadamente disponibilizando uma interface de programação de aplicações. |
|
(7) |
A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o disposto no artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 e emitiu parecer em 30 de setembro de 2024. |
|
(8) |
As medidas previstas no presente regulamento estão em conformidade com o parecer do Comité referido no artigo 48.o do Regulamento (UE) n.o 910/2014, |
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
Objeto e âmbito de aplicação
O presente regulamento estabelece obrigações no que respeita às notificações que permitem a validação:
|
1) |
Dos registos eletrónicos utilizados por um Estado-Membro para publicar informações sobre os utilizadores de carteiras registados nesse Estado-Membro, em conformidade com o artigo 5.o-B, n.o 5, do Regulamento (UE) n.o 910/2014 («registos de utilizadores de carteiras»), da localização dos registos de utilizadores de carteiras e da identificação dos responsáveis pelo registo de utilizadores de carteiras; |
|
2) |
Da identidade dos utilizadores de carteiras registados; |
|
3) |
Da autenticidade e validade das unidades de carteira; |
|
4) |
Da identificação dos fornecedores de carteiras; |
|
5) |
Da autenticidade dos dados de identificação pessoal; |
|
6) |
Da identificação dos fornecedores de dados de identificação pessoal; devendo ser atualizado periodicamente, a fim de acompanhar a evolução da tecnologia e das normas, bem como os trabalhos realizados com base na Recomendação (UE) 2021/946, em especial a arquitetura e o quadro de referência. |
Artigo 2.o
Definições
Para efeitos do presente regulamento, entende-se por:
|
1) |
«Fornecedor de carteiras», uma pessoa singular ou coletiva que disponibiliza soluções de carteiras; |
|
2) |
«Fornecedor de dados de identificação pessoal», uma pessoa singular ou coletiva responsável pela emissão e revogação dos dados de identificação pessoal e pela garantia de que os dados de identificação pessoal de um utente estão criptograficamente vinculados a uma unidade de carteira; |
|
3) |
«Utilizador de carteira», um utilizador que tenciona recorrer a unidades de carteira para a prestação de serviços públicos ou privados por meio de interação digital; |
|
4) |
«Registo de utilizadores de carteiras», um registo eletrónico utilizado por um Estado-Membro para disponibilizar ao público informações sobre os utilizadores de carteiras registados nesse Estado-Membro, conforme previsto no artigo 5.o-B, n.o 5, do Regulamento (UE) n.o 910/2014; |
|
5) |
«Responsável pelo registo de utilizadores de carteiras», o organismo responsável pela elaboração e manutenção da lista de utilizadores de carteiras registados, estabelecidos no seu território, designado por um Estado-Membro; |
|
6) |
«Unidade de carteira», uma configuração única de uma solução de carteira que inclui instâncias de carteiras, aplicações criptográficas seguras de carteiras e dispositivos criptográficos seguros de carteiras disponibilizada pelo fornecedor de uma carteira a um utente individual da carteira; |
|
7) |
«Solução de carteira», uma combinação de software, hardware, serviços, definições e configurações, incluindo instâncias de carteiras, uma ou várias aplicações criptográficas seguras de carteiras e um ou vários dispositivos criptográficos seguros de carteiras; |
|
8) |
«Instância de carteira», a aplicação instalada e configurada no dispositivo ou ambiente do utente de uma carteira, que faz parte de uma unidade de carteira e que o utente da carteira utiliza para interagir com a unidade de carteira; |
|
9) |
«Aplicação criptográfica segura de carteiras», uma aplicação que gere ativos críticos através da ligação e da utilização das funções criptográficas e não criptográficas disponibilizadas pelo dispositivo criptográfico seguro de carteiras; |
|
10) |
«Dispositivo criptográfico seguro de carteiras», um dispositivo inviolável que disponibiliza um ambiente ligado à aplicação criptográfica segura de carteiras e que esta utiliza para proteger ativos críticos e assegurar funções criptográficas para a execução segura de operações críticas; |
|
11) |
«Ativos críticos», ativos dentro de uma unidade de carteira ou relacionados com a mesma, que se revestem de uma importância de tal forma extraordinária que o comprometimento da sua disponibilidade, confidencialidade ou integridade teria um efeito debilitante muito grave na capacidade de recorrer à unidade de carteira; |
|
12) |
«Utente da carteira», um utente que controla a unidade de carteira; |
|
13) |
«Fornecedor de certificados de acesso de utilizadores de carteiras», uma pessoa singular ou coletiva mandatada por um Estado-Membro para emitir certificados de acesso de utilizadores de carteiras a utilizadores de carteiras registados nesse Estado-Membro; |
|
14) |
«Certificado de acesso de utilizador de carteira», um certificado de assinaturas ou selos eletrónicos que autenticam e validam o utilizador de carteira, emitido por um fornecedor de certificados de acesso de utilizadores de carteiras. |
Artigo 3.o
Sistema de notificação
1. A Comissão disponibiliza aos Estados-Membros um sistema eletrónico seguro de notificação, o mais tardar 12 meses após a publicação do presente regulamento no Jornal Oficial da União Europeia, que permite aos Estados-Membros notificar as informações sobre os organismos e mecanismos a que se refere o artigo 5.o-A, n.o 18, do Regulamento (UE) n.o 910/2014.
2. O sistema eletrónico seguro de notificação deve cumprir os requisitos técnicos estabelecidos no anexo I.
Artigo 4.o
Notificações pelos Estados-Membros
1. Os Estados-Membros devem apresentar, através do sistema eletrónico seguro de notificação a que se refere o artigo 3.o, n.o 1, pelo menos as informações especificadas no anexo II.
2. Os Estados-Membros devem efetuar as notificações pelo menos em inglês. Os Estados-Membros não são obrigados a traduzir qualquer documento de suporte das notificações se tal implicar encargos administrativos ou financeiros excessivos.
3. A Comissão pode solicitar informações ou esclarecimentos adicionais aos Estados-Membros, a fim de verificar a exaustividade e a coerência das informações notificadas.
Artigo 5.o
Publicações pela Comissão
1. A Comissão elabora, mantém e publica uma lista que inclui as informações notificadas pelos Estados-Membros sobre os responsáveis pelo registo de utilizadores de carteiras e sobre os registos de utilizadores de carteiras, conforme referido no anexo II, secção 1.
2. A Comissão elabora, mantém e publica uma lista que inclui as informações notificadas pelos Estados-Membros sobre os fornecedores de carteiras, os fornecedores de dados de identificação pessoal e os fornecedores de certificados de acesso de utilizadores de carteiras, conforme referido no anexo II, secções 2, 3 e 4.
3. A Comissão assegura que é possível aceder às listas referidas nos n.os 1 e 2 do presente artigo:
|
a) |
Tanto num formato assinado ou selado por via eletrónica, adequado ao tratamento automático, como através de um sítio Web legível pelas pessoas, disponível, pelo menos, em inglês; |
|
b) |
Sem necessidade de registo ou autenticação para obter ou ler as listas; |
|
c) |
De forma segura, recorrendo à cifragem da camada de transporte mais avançada. |
4. Para além das publicações das listas referidas nos n.os 1 e 2, a Comissão publica:
|
a) |
As especificações técnicas que a Comissão utiliza para a estrutura das listas; |
|
b) |
Informações relativas ao URL onde as listas estão publicadas; |
|
c) |
Os certificados a utilizar para verificar a assinatura ou o selo das listas; |
|
d) |
Os dados sobre os mecanismos utilizados para validar as alterações da localização a que se refere a alínea b) ou dos certificados a que se refere a alínea c). |
Artigo 6.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 28 de novembro de 2024.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(4) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5) Regulamento de Execução (UE) 2024/2982 da Comissão, de 28 de novembro de 2024, que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante aos protocolos e às interfaces que devem ser suportados pelo Regime Europeu para a Identidade Digital (JO L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
(6) Regulamento de Execução (UE) 2024/2979 da Comissão, de 28 de novembro de 2024, que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante à integridade e às funcionalidades essenciais das carteiras europeias de identidade (JO L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
(7) Regulamento de Execução (UE) 2024/2977 da Comissão, de 28 de novembro de 2024, que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante aos dados de identificação pessoal e aos certificados eletrónicos de atributos emitidos para carteiras europeias de identidade digital (JO L, 2024/2977, 4.12.2024, ELI: https://eur-lex.europa.eu/eli/reg_impl/2024/2977/oj).
(8) Regulamento de Execução (UE) 2024/2980 da Comissão, de 28 de novembro de 2024, que estabelece as regras de execução do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho no respeitante às notificações à Comissão relativas ao ecossistema da carteira europeia de identidade digital (JO L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
(9) JO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(10) Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho, de 11 de abril de 2024, que altera o Regulamento (UE) n.o 910/2014 no respeitante à criação do Regime Europeu para a Identidade Digital (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(11) Decisão de Execução (UE) 2015/1984 da Comissão, de 3 de novembro de 2015, que estabelece as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do artigo 9.o, n.o 5, do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (JO L 289 de 5.11.2015, p. 18, ELI: http://data.europa.eu/eli/dec_impl/2015/1984/oj).
ANEXO I
REQUISITOS APLICÁVEIS AO SISTEMA DE NOTIFICAÇÕES DA COMISSÃO
1.
A interface do sistema eletrónico seguro de notificação deve ser apresentada, pelo menos, em inglês.
2.
O sistema eletrónico seguro de notificação disponibilizado pela Comissão deve ser concebido de modo a:|
a) |
Permitir que os Estados-Membros apresentem as mesmas informações apenas uma vez, reutilizando informações apresentadas anteriormente, se for caso disso; |
|
b) |
Permitir a apresentação de informações por meio de interfaces de tratamento automático e de interfaces utilizáveis pelas pessoas; |
|
c) |
Suportar controlos de acesso e gestão de controlos de acesso adequados, delegando nos Estados-Membros o poder de conceder acesso a representantes competentes no que diz respeito às notificações; |
|
d) |
Suportar as notificações das informações especificadas no anexo II; |
|
e) |
Permitir que os Estados-Membros visualizem as informações notificadas; |
|
f) |
Acusar a receção das notificações de informações por via eletrónica; |
|
g) |
Conservar e permitir que os Estados-Membros visualizem um registo histórico de eventuais alterações de quaisquer informações notificadas. |
ANEXO II
REQUISITOS APLICÁVEIS ÀS NOTIFICAÇÕES DOS ESTADOS-MEMBROS
1. Notificações de informações sobre os responsáveis pelo registo e os registos
|
1) |
Os Estados-Membros devem facultar à Comissão as seguintes informações sobre os respetivos responsáveis pelo registo e registos:
|
|
2) |
As informações referidas no ponto 1) devem ser facultadas por registo e responsável pelo registo. |
2. Notificações de informações sobre os fornecedores de carteiras e sobre os mecanismos de validação da autenticidade e validade das unidades de carteira
|
1) |
Os Estados-Membros devem facultar à Comissão as seguintes informações sobre os fornecedores de carteiras:
|
|
2) |
As informações referidas no ponto 1) devem ser facultadas por fornecedor. |
3. Notificações de informações sobre os fornecedores de dados de identificação pessoal e sobre os mecanismos que permitem a autenticação e validação dos dados de identificação pessoal
|
1) |
Os Estados-Membros devem facultar à Comissão as seguintes informações sobre os fornecedores de dados de identificação pessoal:
|
|
2) |
As informações referidas no ponto 1) devem ser facultadas por fornecedor. |
4. Notificações de informações sobre os fornecedores de certificados de acesso de utilizadores de carteiras
|
1) |
Os Estados-Membros devem facultar à Comissão as seguintes informações sobre os fornecedores de certificados de acesso de utilizadores de carteiras:
|
|
2) |
As informações referidas no ponto 1) devem ser facultadas por fornecedor de certificados de acesso de utilizadores de carteiras. |
ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj
ISSN 1977-0774 (electronic edition)