Jornal Oficial
da União Europeia
PT
Série L
|
|
Jornal Oficial |
PT Série L |
|
2025/2243 |
7.11.2025 |
REGULAMENTO DE EXECUÇÃO (UE) 2025/2243 DA COMISSÃO
de 6 de novembro de 2025
que estabelece especificações detalhadas relativamente aos requisitos funcionais aplicáveis às plataformas eFTI em conformidade com o Regulamento (UE) 2020/1056 do Parlamento Europeu e do Conselho
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2020/1056 do Parlamento Europeu e do Conselho, de 15 de julho de 2020, relativo a informações eletrónicas sobre o transporte de mercadorias (1), nomeadamente o artigo 9.o,n.o 2,
Considerando o seguinte:
|
(1) |
O Regulamento (UE) 2020/1056 exige que as autoridades competentes dos Estados-Membros aceitem informações regulamentares quando disponibilizadas por via eletrónica pelos operadores económicos interessados, em conformidade com os requisitos estabelecidos nesse regulamento e, mais especificamente, através de plataformas de informações eletrónicas sobre o transporte de mercadorias (eFTI, do inglês electronic freight transport information) certificadas para cumprir os requisitos estabelecidos nesse regulamento. |
|
(2) |
Os operadores económicos interessados, bem como os fornecedores de soluções TIC, devem poder reutilizar de forma flexível as soluções TIC atualmente utilizadas no setor dos transportes e da logística, por exemplo para gerir fluxos de processos empresariais internos e comunicações com parceiros comerciais na cadeia de abastecimento, a fim de desenvolver plataformas eFTI. A possibilidade de tirar partido das soluções existentes permitiria o desenvolvimento mais rápido e eficiente em termos de custos das plataformas eFTI e facilitaria uma adoção mais rápida e mais ampla de eFTI pelos operadores económicos interessados, sem investimento tecnológico significativo ou encargos associados aos processos empresariais. |
|
(3) |
Nos termos do artigo 12.o do Regulamento (UE) 2020/1056, deve ser instituído um processo de certificação de plataformas eFTI, através do qual seja avaliada a conformidade com os requisitos previstos no artigo 9.o, n.o 1, desse regulamento. Uma vez emitida por um organismo de avaliação da conformidade acreditado num dos Estados-Membros em conformidade com o Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (2), a certificação será válida em todos os Estados-Membros. As especificações funcionais e técnicas comuns pormenorizadas para o funcionamento das plataformas eFTI estabelecidas no presente regulamento devem, por conseguinte, permitir à Comissão definir, numa fase posterior, nos termos do artigo 12.o do Regulamento (UE) 2020/1056, as regras detalhadas necessárias para assegurar uma avaliação uniforme da conformidade das plataformas eFTI tendo em vista a sua certificação. |
|
(4) |
A sensibilidade dos dados comerciais continua a ser um fator importante que influencia a vontade dos operadores económicos de partilharem dados por via eletrónica. A fim de reforçar a confiança dos operadores económicos interessados, os requisitos aplicáveis às plataformas eFTI devem assegurar que os dados armazenados pelos operadores económicos nas plataformas eFTI são disponibilizados às autoridades competentes apenas com base em ligações securizadas e autenticadas com os sistemas utilizados pelas autoridades competentes. Além disso, os dados disponibilizados às autoridades competentes devem limitar-se aos requisitos de informações especificados nos pedidos de acesso aos dados eFTI e apenas quando esses pedidos forem transmitidos pelas autoridades competentes em conformidade com as especificações funcionais e técnicas estabelecidas no Regulamento de Execução (UE) 2024/1942 da Comissão (3). Pela mesma razão, os operadores económicos interessados devem receber informações, nomeadamente através de notificações em tempo real, sobre todos os pedidos de acesso das autoridades competentes aos dados que disponibilizaram na plataforma eFTI, incluindo as comunicações de seguimento correspondentes, quando apresentadas. |
|
(5) |
O Regulamento de Execução (UE) 2024/1942 estabelece procedimentos comuns e regras detalhadas para o acesso e o tratamento pelas autoridades competentes das informações disponibilizadas nas plataformas eFTI pelos operadores económicos interessados. Tal inclui requisitos funcionais e técnicos específicos para a comunicação entre os sistemas de TIC utilizados pelas autoridades competentes e as plataformas eFTI. A fim de assegurar a interoperabilidade e uma comunicação sem descontinuidades entre os sistemas utilizados pelas autoridades competentes e as plataformas eFTI, os requisitos funcionais e técnicos comuns aplicáveis às plataformas eFTI devem ser compatíveis com os estabelecidos para os sistemas utilizados pelas autoridades competentes. |
|
(6) |
O acesso dos operadores económicos às plataformas eFTI deve também ser assegurado através de mecanismos de gestão do acesso securizados e transparentes. Apenas os utilizadores autorizados devem poder aceder e tratar dados eFTI em nome dos operadores económicos. As autorizações devem basear-se em direitos de tratamento de dados claramente identificados e ser emitidas sob o controlo dos operadores económicos titulares de direitos ou obrigações em relação a esses dados, nos termos do direito da União ou nacional aplicável ou de acordos comerciais específicos. Ao mesmo tempo, as autorizações só devem ser concedidas a utilizadores que tenham sido identificados e autenticados de forma fiável utilizando meios de identificação eletrónica conformes com os requisitos estabelecidos no Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (4). Esses mecanismos de gestão do acesso devem oferecer confiança aos operadores económicos para partilharem os seus dados eFTI na fonte e, por conseguinte, eliminar a necessidade de múltiplos pontos de armazenamento de dados e reduzir os custos e complexidades associados à gestão e sincronização de dados, entre outros. |
|
(7) |
As disposições referidas no artigo 2.o, n.o 1, do Regulamento (UE) 2020/1056 permitem que, na maioria dos casos, os operadores económicos interessados reutilizem documentos entre empresas para fornecerem as informações necessárias sobre o transporte de mercadorias. As especificações detalhadas estabelecidas no presente regulamento devem seguir o mesmo espírito, centrando-se na forma como as informações sobre o transporte de mercadorias devem ser partilhadas por via eletrónica com as autoridades competentes. As referidas especificações não devem estabelecer requisitos para o formato eletrónico e a utilização de documentos comerciais, a fim de não afetar as informações sobre o transporte de mercadorias para além do âmbito de aplicação do Regulamento (UE) 2020/1056 ou a flexibilidade dos operadores económicos na preparação e no intercâmbio de informações em contextos entre empresas. Por conseguinte, é conveniente que o presente regulamento estabeleça as especificações sobre o conjunto de dados eFTI que permitem aos operadores económicos interessados provar, partilhando os mesmos dados apenas uma vez, o cumprimento dos requisitos de informações regulamentares nacionais e da União aplicáveis a que se refere o artigo 2.o, n.o 1, do Regulamento (UE) 2020/1056. O conjunto de dados eFTI deve ser composto em conformidade com as especificações do conjunto comum de dados eFTI e dos subconjuntos de dados eFTI estabelecidas no anexo do Regulamento Delegado (UE) 2024/2024 da Comissão (5). Ao fornecerem as informações relativas ao conjunto de dados eFTI, os operadores económicos devem poder reutilizar, tanto quanto possível, as informações disponíveis nos seus sistemas eletrónicos internos de gestão de dados, como os sistemas de planeamento de recursos empresariais ou de gestão dos transportes, que utilizam para gerir documentos de transporte comerciais, como guias de remessa ou ordens de transporte. |
|
(8) |
Nos termos do artigo 4.o do Regulamento (UE) 2020/1056, os operadores económicos interessados não são obrigados a disponibilizar os dados por via eletrónica às autoridades competentes, uma vez que conservam o direito de apresentar as informações regulamentares sobre o transporte de mercadorias sob a forma de documentos em papel. Por conseguinte, os operadores de plataformas eFTI devem assegurar que os operadores económicos interessados são informados de que, ao procederem ao tratamento de dados na plataforma eFTI, concordam que essas informações regulamentares, registadas e tratadas como dados eFTI numa plataforma eFTI, sejam disponibilizadas por essa plataforma às autoridades competentes, em nome do respetivo operador interessado, sempre que a plataforma receba pedidos de acesso a dados eFTI transmitidos pelas autoridades competentes em conformidade com os requisitos do Regulamento de Execução (UE) 2024/1942. Os operadores de plataformas eFTI devem também assegurar que os operadores são informados de que, ao tratarem dados na plataforma eFTI, concordam que a plataforma eFTI disponibilize os registos correspondentes das operações de tratamento de dados para auditoria em conformidade com o direito da UE ou nacional aplicável. |
|
(9) |
O artigo 27.o, n.o 3, do Regulamento (UE) 2024/1157 do Parlamento Europeu e do Conselho (6) prevê a interoperabilidade com o ambiente de intercâmbio eFTI do sistema central de apresentação e intercâmbio por via eletrónica de informações e documentos relativos a transferências de resíduos entre os operadores económicos interessados e as autoridades competentes, também designado por sistema digital de transferências de resíduos (DIWASS, do inglês digital waste shipment system), estabelecido em conformidade com o referido regulamento. Além disso, o artigo 5.o, n.o 2, do Regulamento de Execução (UE) 2025/1290 da Comissão (7) especifica que os utilizadores que representem operadores económicos interessados que atuem na qualidade de transportadores no âmbito da transferência de resíduos podem ligar-se ao DIWASS através de uma plataforma eFTI interligada com esse sistema através de uma interface de programação de aplicações. A fim de assegurar a interoperabilidade entre as plataformas eFTI e o DIWASS, é necessário estabelecer especificações para o intercâmbio de informações sobre resíduos abrangidas pelo âmbito de aplicação do Regulamento (UE) 2020/1056, tal como referido no artigo 2.o, n.o 1, alínea a), subalínea iv), do mesmo regulamento. Esta interoperabilidade facilitará aos transportadores que efetuam operações de transporte de resíduos a prova de conformidade, por via eletrónica, tanto com os requisitos de disponibilidade de informações regulamentares durante a operação de transporte, tal como previsto nas disposições referidas no artigo 2.o, n.o 1, do Regulamento (UE) 2020/1056, como com os requisitos relativos ao fornecimento de informações sobre transferências de resíduos estabelecidos no Regulamento (UE) 2024/1157. |
|
(10) |
Os dados registados pelos operadores económicos nas plataformas eFTI terão um valor comercial substancial, tanto permitindo que os operadores económicos interessados provem o cumprimento dos requisitos administrativos, como servindo de base para as transações comerciais, a prestação de serviços e o acompanhamento e planeamento empresariais. Por conseguinte, é essencial que, para além de políticas rigorosas de gestão do acesso, os operadores de plataformas eFTI adotem medidas que assegurem a acessibilidade, a preservação e a segurança contínuas desses dados, quer sejam armazenados em dispositivos de armazenamento físico sob o controlo do operador da plataforma eFTI, quer em nuvens de dados adquiridas no âmbito de serviços de armazenamento de dados. Para o efeito, e sem afetar os requisitos nacionais ou da UE aplicáveis em matéria de cibersegurança, os operadores de plataformas eFTI devem respeitar as melhores práticas e as normas internacionais mais recentes em matéria de privacidade e segurança dos dados, como as normas ISO 27001, ISO 27017 e ISO 27701. Aos dados pessoais tratados no contexto da aplicação do presente regulamento de execução aplica-se o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (8). |
|
(11) |
A fim de permitir que os operadores de plataformas eFTI tenham em conta a evolução técnica e as normas em constante evolução, as especificações detalhadas estabelecidas no presente regulamento não devem ir além dos requisitos necessários para assegurar a interoperabilidade funcional e técnica mínima com outros componentes no ambiente de intercâmbio eFTI, tal como previsto no Regulamento de Execução (UE) 2024/1942. Ao mesmo tempo, a interoperabilidade sem descontinuidades entre estes diferentes componentes TIC não pode ser alcançada sem um conjunto de especificações técnicas comuns e detalhadas que possam ser facilmente atualizadas e partilhadas entre todas as partes interessadas. Por conseguinte, devem ser elaborados documentos de orientação técnica para apoiar a aplicação do presente regulamento, envolvendo as partes interessadas do setor público e privado e, em especial, o grupo de trabalho de peritos nomeados pelos Estados-Membros para atuar como rede de apoio operacional em conformidade com o artigo 13.o do Regulamento de Execução (UE) 2024/1942, bem como os grupos de trabalho ou subgrupos pertinentes do grupo de peritos «Fórum de Transporte e Logística Digital» (9). |
|
(12) |
A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o disposto no artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (10) e emitiu um parecer em 8 de julho de 2025. |
|
(13) |
As medidas previstas no presente regulamento estão em conformidade com o parecer do comité instituído pelo artigo 15.o, n.o 1, do Regulamento (UE) 2020/1056, |
ADOTOU O PRESENTE REGULAMENTO:
CAPÍTULO I
INFORMAÇÕES GERAIS
Artigo 1.o
Definições
Para efeitos do presente regulamento, entende-se por:
|
1) |
«Sistema de TIC», um conjunto organizado de tecnologias da informação e comunicação (TIC), incluindo equipamentos e programas informáticos e redes, unidas e regulamentadas por interação ou interdependência para realizar um conjunto de funções específicas; |
|
2) |
«Sistema de TIC tributário», um sistema de TIC identificável externo a uma plataforma eFTI, incluindo outra plataforma eFTI, através do qual os utilizadores profissionais se ligam a uma plataforma eFTI para aceder a e tratar dados eFTI; |
|
3) |
«Dados eFTI», os dados correspondentes às informações regulamentares na aceção do artigo 3.o, ponto 1, do Regulamento (UE) 2020/1056; |
|
4) |
«Operador de plataforma eFTI», uma pessoa singular ou coletiva considerada legalmente responsável pelo funcionamento adequado de uma plataforma eFTI; |
|
5) |
«Porta eFTI», um componente de TIC ou um conjunto de componentes de TIC que executam as funcionalidades estabelecidas no artigo 6.o do Regulamento de Execução (UE) 2024/1942; |
|
6) |
«Utilizador profissional», uma pessoa singular ou coletiva que constitua ou esteja autorizada a representar um operador económico interessado nos termos do Regulamento (UE) 2020/1056, ou outro operador económico que constitua um detentor de dados em conformidade com o n.o 23, e que proceda ao tratamento de dados numa plataforma eFTI em nome desse operador económico interessado ou de outro detentor de dados; |
|
7) |
«Sessão de acesso», um período limitado durante o qual um utilizador profissional tem acesso a uma plataforma eFTI; |
|
8) |
«Movimento de remessas», o transporte de um conjunto de mercadorias através de um único meio de transporte automotor, com ou sem equipamento de transporte, como reboque, palete ou contentor, do mesmo local de carga ou de tomada a cargo para o mesmo local de descarga ou entrega, nos termos de um contrato de transporte único; |
|
9) |
«Conjunto de dados eFTI relativo ao movimento de remessas» ou «eFTI CMDS» (do inglês consignment movement dataset), um conjunto de dados eFTI com identificação única, composto pelos dados eFTI que, no seu todo, constituem as informações regulamentares de transporte de mercadorias relativas a um movimento de remessas específico; |
|
10) |
«Requisitos de informações regulamentares aplicáveis», os requisitos de informações regulamentares a que se refere o artigo 2.o, n.o 1, do Regulamento (UE) 2020/1056 aplicáveis a um movimento de remessas específico; |
|
11) |
«Identificadores dos subconjuntos de dados eFTI», os identificadores no formato «EUyy» ou «XXyy» dos subconjuntos de dados eFTI estabelecidos nas secções 3 e 4 do anexo do Regulamento Delegado (UE) 2024/2024; |
|
12) |
«Identificador Único Universal do eFTI CMDS» ou «UUID do eFTI CMDS» (do inglês Universal Unique Identifier), o número único, tal como referido no artigo 11.o, n.o 2, alínea c), do Regulamento de Execução (UE) 2024/1942, atribuído automaticamente por uma plataforma eFTI a um conjunto de dados eFTI que constitua um eFTI CMDS; |
|
13) |
«Número de identificação único do pedido», o número único de um pedido de acesso a dados eFTI apresentado por um funcionário da autoridade competente, emitido e atribuído ao pedido em conformidade com o artigo 3.o, n.o 2, alínea c), do Regulamento de Execução (UE) 2024/1942; |
|
14) |
«Comunicação de seguimento», a comunicação entre as autoridades competentes e os operadores económicos interessados, na aceção do artigo 1.o, ponto 6), do Regulamento de Execução (UE) 2024/1942; |
|
15) |
«Interface de utilizador homem-máquina», uma interface gráfica de utilizador baseada na Web ou numa aplicação que permite a pessoas singulares efetuar operações de tratamento de dados numa plataforma eFTI; |
|
16) |
«Meio de identificação eletrónica», um elemento material ou imaterial, que contém os dados de identificação pessoal e que é utilizado para autenticação, a fim de aceder a um serviço em linha ou, se for caso disso, a um serviço fora de linha; |
|
17) |
«Sistema de identificação eletrónica», um sistema de identificação eletrónica ao abrigo do qual são emitidos meios de identificação eletrónica para pessoas singulares ou coletivas, ou para pessoas singulares que representem outras pessoas singulares ou pessoas coletivas; |
|
18) |
«Autenticação», o processo eletrónico que permite a confirmação da identificação eletrónica de uma pessoa singular ou coletiva ou a confirmação da origem e integridade de dados em formato eletrónico; |
|
19) |
«Assinatura eletrónica avançada», uma assinatura eletrónica que cumpre os requisitos estabelecidos no artigo 26.o do Regulamento (UE) n.o 910/2014; |
|
20) |
«Selo eletrónico avançado», um selo eletrónico que cumpre os requisitos estabelecidos no artigo 36.o do Regulamento (UE) n.o 910/2014; |
|
21) |
«Utilizador integrado», um utilizador profissional para o qual a identificação, autenticação e autorização foram efetuadas em conformidade com os requisitos estabelecidos no artigo 4.o, n.o 2, alínea a); |
|
22) |
«Utilizador não integrado», um utilizador profissional autorizado a aceder a uma plataforma eFTI com base apenas em direitos temporários de acesso e de tratamento, emitidos em conformidade com os requisitos estabelecidos no artigo 5.o, n.o 1, alínea b); |
|
23) |
«Detentor de dados», uma pessoa singular ou coletiva que tem o direito ou a obrigação, em conformidade com o direito da União, a legislação nacional ou os acordos contratuais privados aplicáveis, de utilizar e disponibilizar dados que também constituem informações regulamentares em conformidade com os requisitos a que se refere o artigo 2.o, n.o 1, do Regulamento (UE) 2020/1056; |
|
24) |
«Autorizador primário», um utilizador profissional integrado que está autorizado a alterar as informações registadas num perfil de utilizador integrado, incluindo a criação ou supressão de um perfil de utilizador; |
|
25) |
«Autorizador temporário», um utilizador profissional integrado que está autorizado a emitir direitos temporários de tratamento de dados a utilizadores não integrados; |
|
26) |
«Autenticação de dois fatores», um método de segurança da gestão da identidade e do acesso que exige duas formas de identificação para aceder a uma plataforma eFTI; |
|
27) |
«Marca de certificação», uma referência codificada da plataforma eFTI que atesta a validade da sua certificação e que deve acompanhar todas as informações disponibilizadas às autoridades competentes por meio de uma plataforma eFTI certificada, em conformidade com o artigo 12.o, n.o 3, do Regulamento (UE) 2020/1056; |
|
28) |
«Sistema digital de transferências de resíduos» ou «DIWASS» (do inglês digital waste shipment system), o sistema central referido no artigo 27.o, ponto 3, do Regulamento (UE) 2024/1157; |
|
29) |
«Operador de transferências de resíduos», um operador na aceção do artigo 2.o, n.o 2, ponto 13), do Regulamento de Execução (UE) 2025/1290; |
|
30) |
«Documentos de transferência de resíduos», os documentos a que se referem o artigo 9.o, n.o 2, o artigo 16.o, n.o 1 e o artigo 18.o, n.o 4, do Regulamento (UE) 2024/1157; |
|
31) |
«Informações relativas ao transporte combinado», as informações regulamentares a que se refere o artigo 3.o da Diretiva 92/106/CEE do Conselho (11); |
|
32) |
«Selo temporal qualificado», um selo eletrónico que cumpre os requisitos estabelecidos no artigo 42.o do Regulamento (UE) n.o 910/2014. |
Artigo 2.o
Arquitetura do sistema das plataformas eFTI
A arquitetura do sistema das plataformas eFTI consiste em qualquer combinação de componentes ou sistemas de TIC que cumpram os requisitos estabelecidos no presente regulamento.
CAPÍTULO II
ACESSO ÀS PLATAFORMAS eFTI
Artigo 3.o
Acesso das autoridades competentes às plataformas eFTI
1. As plataformas eFTI devem permitir que as autoridades competentes acedam aos dados eFTI exclusivamente mediante comunicação máquina-máquina, através de uma ligação securizada entre a plataforma eFTI e uma porta eFTI. Cada plataforma eFTI deve dispor de uma ligação securizada com, pelo menos, uma porta eFTI.
2. Para permitir a comunicação a que se refere o n.o 1, uma plataforma eFTI deve disponibilizar as seguintes funcionalidades:
|
a) |
Validar o pedido de acesso aos dados eFTI ou a comunicação de seguimento recebida da porta eFTI, verificando a chave de segurança da porta eFTI; |
|
b) |
Tratar o pedido de acesso aos dados eFTI, identificando:
|
|
c) |
Manter uma pista de auditoria do pedido de acesso aos dados eFTI, registando, pelo menos, as seguintes informações:
|
|
d) |
Preparar e transmitir à porta eFTI a resposta ao pedido de acesso aos dados eFTI, conforme adequado:
|
|
e) |
Manter uma pista de auditoria da resposta, que permita obter, pelo menos, as seguintes informações:
|
|
f) |
Tratar a comunicação de seguimento:
|
|
g) |
Manter uma pista de auditoria da comunicação de seguimento, que permita obter, pelo menos, as seguintes informações:
|
Artigo 4.o
Acesso dos utilizadores profissionais às plataformas eFTI
1. As plataformas eFTI devem permitir que os utilizadores profissionais acedam e tratem dados eFTI através de uma ou das duas seguintes modalidades:
|
a) |
Interfaces de utilizador homem-máquina; |
|
b) |
Comunicação máquina-máquina através de ligações securizadas a outros sistemas de TIC, que funcionam como sistemas de TIC tributários. |
2. Para o acesso e o tratamento de dados eFTI através de interfaces homem-máquina, as plataformas eFTI devem dispor de funcionalidades que assegurem:
|
a) |
Para cada utilizador integrado:
|
|
b) |
Para utilizadores não integrados, a identificação, autenticação e autorização dos utilizadores através do mecanismo de autorização a que se refere o artigo 5.o, n.o 1, alínea b). |
3. O sistema de identificação eletrónica referido no n.o 2, alínea a), subalínea i), deve cumprir, no mínimo, os requisitos estabelecidos no artigo 8.o, n.o 2, alínea b), do Regulamento (UE) n.o 910/2014.
Para os utilizadores que acedam e tratem dados eFTI que correspondam aos requisitos de informações referidos no artigo 2.o, n.o 1, alínea a), subalínea iv), do Regulamento (UE) 2020/1056, os meios de identificação eletrónica a que se refere o n.o 2, alínea a), subalínea i), do presente artigo devem incluir uma referência do número de identificação do operador de transferências de resíduos a que se refere o artigo 9.o do Regulamento de Execução (UE) 2025/1290.
4. Para o acesso e o tratamento de dados eFTI através de comunicação máquina-máquina, as plataformas eFTI devem dispor de funcionalidades que assegurem para cada sistema de TIC tributário:
|
a) |
A identificação e autenticação do utilizador profissional sob cuja responsabilidade legal o sistema de TIC tributário opera, através de um registo em que sejam inseridas e mantidas atualizadas, pelo menos, as seguintes informações:
|
|
b) |
A autorização do utilizador profissional sob cuja responsabilidade legal o sistema de TIC tributário opera, através do registo de autorizações referido no artigo 5.o, n.o 1, alínea a). |
5. Os operadores de plataformas eFTI devem estabelecer e aplicar medidas para a integração adequada de sistemas de TIC tributários, que incluam, no mínimo:
|
a) |
Verificar se o sistema de TIC tributário identifica e autentica os utilizadores autorizados a agir na qualidade de utilizadores profissionais da plataforma eFTI, através de meios de identificação eletrónica emitidos por um sistema de identificação eletrónica que cumpra os requisitos estabelecidos no n.o 3; |
|
b) |
Verificar se o sistema de TIC tributário controla o acesso dos utilizadores autorizados a agir na qualidade de utilizadores profissionais da plataforma eFTI, através do registo de autorizações referido no artigo 5.o, n.o 1, alínea a). |
6. Em cada sessão de acesso, a plataforma eFTI deve assegurar a identificação, autenticação e autorização do utilizador profissional, antes de permitir que trate dados eFTI.
Artigo 5.o
Mecanismo de autorização
1. As plataformas eFTI devem utilizar um ou os dois seguintes tipos de mecanismos de autorização:
|
a) |
A verificação dos direitos de tratamento do utilizador, através dos registos de autorizações em que os direitos de tratamento dos utilizadores integrados são registados, mantidos atualizados e permanecem disponíveis para efeitos de auditoria, e que devem constituir o principal mecanismo de autorização; |
|
b) |
A emissão e verificação de direitos de tratamento temporário, através dos registos de autorizações em que são registadas as credenciais de acesso temporário dos utilizadores ocasionais não integrados. |
2. Os registos de autorizações referidos no n.o 1 devem ser criados e mantidos como um componente de TIC distinto. Esse componente de TIC distinto pode estar integrado na plataforma eFTI ou fazer parte de um sistema de TIC externo à plataforma eFTI com a qual a plataforma eFTI estabeleça comunicações securizadas, em conformidade com o artigo 12.o, n.o 4.
3. Os registos de autorizações a que se refere o n.o 1, alínea a), devem manter um «perfil de utilizador» com uma identificação única para cada utilizador profissional integrado, contendo, pelo menos, as seguintes informações:
|
a) |
A identificação única do utilizador profissional, sob a forma de referência codificada; |
|
b) |
Os direitos de tratamento, sob a forma de referências, que incluam:
|
|
c) |
Uma indicação sobre se o utilizador profissional pode agir na qualidade de autorizador primário ou de autorizador temporário; |
|
d) |
Para os utilizadores profissionais designados como autorizadores primários, os números de identificação únicos dos perfis de utilizador integrado existentes que estão autorizados a alterar; |
|
e) |
Para os utilizadores profissionais designados como autorizadores temporários, os direitos de tratamento temporário que têm o direito de conceder a utilizadores não integrados, sob a forma de referências das operações de tratamento a que se refere o artigo 8.o; |
|
f) |
Uma indicação sobre se o utilizador profissional pode solicitar notificações relacionadas com pedidos de acesso a dados eFTI pelas autoridades competentes e comunicações de seguimento conexas, quando relacionadas com o eFTI CMDS para o qual o utilizador profissional tenha direitos de tratamento. |
4. O operador da plataforma eFTI ou, se o registo de autorizações for um componente de um sistema de TIC externo à plataforma eFTI, o operador do sistema de TIC externo, deve tomar medidas para assegurar a integração adequada dos utilizadores profissionais que possam atuar na qualidade de «autorizador primário». Essas medidas devem consistir, no mínimo, na:
|
a) |
Identificação e autenticação, em conformidade com os requisitos estabelecidos no artigo 4.o, n.o 2, alínea a); |
|
b) |
Verificação das credenciais que indiquem que o utilizador profissional é um detentor de dados ou constitui o representante legal de um detentor de dados, ou que o utilizador profissional está habilitado a autorizar, em nome de um detentor de dados, o tratamento de dados em relação aos quais este tenha direitos ou obrigações, tal como referido no artigo 1.o, ponto 23); |
|
c) |
Manutenção de um registo dessas credenciais para efeitos de auditoria. |
5. O mecanismo de autorização a que se refere o n.o 1, alínea b), deve conter funcionalidades que cumpram, no mínimo, as seguintes especificações:
|
a) |
Permitir que os utilizadores integrados designados como autorizadores temporários emitam direitos de tratamento temporário a utilizadores não integrados, inserindo num registo específico as credenciais de acesso temporário dos utilizadores não integrados, contendo, no mínimo:
|
|
b) |
Permitir que os utilizadores integrados designados como autorizadores temporários atribuam acesso temporário aos dados eFTI a utilizadores não integrados relativamente aos quais registaram as credenciais de acesso temporário, enviando uma mensagem através dos dados de contacto registados do utilizador não integrado, contendo:
|
|
c) |
Quando o acesso à plataforma eFTI for solicitado por um utilizador não integrado, facultar-lhe o acesso à plataforma eFTI através da autenticação de dois fatores e permitir-lhe efetuar operações de tratamento com base nos seus direitos de tratamento registados em conformidade com a alínea a); |
|
d) |
Terminar a sessão de um utilizador não integrado logo que ocorra um dos seguintes eventos:
|
6. As informações registadas nos registos de autorizações, em conformidade com os n.os 1 a 5, devem ser conservadas para efeitos de auditoria, no mínimo, por um período igual àquele durante o qual o eFTI CMDS sujeito a operações de tratamento deve ser mantido disponível, em conformidade com o direito nacional ou da União aplicável, nos termos do artigo 9.o, n.o 1, alínea i), do Regulamento (UE) 2020/1056.
7. As plataformas eFTI devem apagar todas as informações que constituam dados pessoais em conformidade com o Regulamento (UE) 2016/679 num prazo razoável após o termo do período referido no n.o 6.
Artigo 6.o
Comunicação com o DIWASS
1. A fim de permitir que os operadores económicos interessados disponibilizem às autoridades competentes as informações regulamentares a que se refere o artigo 2.o, n.o 1, alínea a), subalínea iv), do Regulamento (UE) 2020/1056, as plataformas eFTI devem estabelecer ligações securizadas com o sistema central a que se refere o artigo 27.o, n.o 3, do Regulamento (UE) 2024/1157, através de uma interface de programação de aplicações nos termos do artigo 5.o, n.o 2, do Regulamento de Execução (UE) 2025/1290, ou, quando disponibilizadas por um Estado-Membro, através da ligação ao sistema local operado por uma autoridade competente desse Estado-Membro em conformidade com o artigo 27.o, n.o 4, do Regulamento (UE) 2024/1157, e que esteja ligada ao sistema central em conformidade com os requisitos do Regulamento de Execução (UE) 2025/1290.
2. Sempre que as plataformas eFTI estabeleçam qualquer ligação referida no n.o 1, devem também dispor das funcionalidades adicionais correspondentes, em conformidade com o artigo 9.o, n.o 2, do presente regulamento.
Artigo 7.o
Transparência
1. As plataformas eFTI devem ter funcionalidades que permitam aos utilizadores profissionais solicitar e receber notificações, nomeadamente sob a forma de relatórios periódicos, com base em autorizações adequadas. Essas notificações e esses relatórios devem abranger os pedidos de acesso das autoridades competentes aos dados eFTI e as comunicação de seguimento conexas. Devem abranger igualmente as operações de tratamento efetuadas por utilizadores profissionais, sempre que o utilizador profissional que solicita essas notificações ou relatórios seja um detentor de dados ou que lhe tenham sido atribuídos direitos de tratamento desses dados no registo de autorizações, a que se refere o artigo 5.o, n.o 1, alínea a).
2. Sempre que as notificações ou os relatórios referidos no n.o 1 digam respeito aos pedidos de acesso a dados eFTI por parte das autoridades competentes e às comunicação de seguimento conexas, essas notificações devem conter, pelo menos, as seguintes informações:
|
a) |
A data e a hora de receção do pedido de acesso aos dados eFTI e, caso seja apresentada, da comunicação de seguimento; |
|
b) |
O Estado-Membro da autoridade competente que apresentou o pedido de acesso aos dados eFTI; |
|
c) |
O UUID do eFTI CMDS relativamente ao qual foi efetuado o pedido de acesso aos dados eFTI; |
|
d) |
Quando apresentada uma comunicação de seguimento, as informações constantes da mesma. |
CAPÍTULO III
TRATAMENTO DE DADOS NAS PLATAFORMAS eFTI
Artigo 8.o
Conjunto de dados eFTI sobre os movimentos de remessas ou eFTI CMDS
1. As plataformas eFTI devem gerir o tratamento de dados eFTI com base em conjuntos de dados com uma identificação única, constituindo cada conjunto um eFTI CMDS.
2. Os eFTI CMDS devem ser gerados selecionando todos os elementos de dados que constituem os subconjuntos de dados eFTI correspondentes aos requisitos de informações regulamentares aplicáveis a um movimento de remessas específico, devendo todos os elementos de dados comuns a dois ou mais subconjuntos de dados eFTI ser incluídos uma única vez.
3. Todos os dados eFTI tratados numa plataforma eFTI devem cumprir as definições e as características técnicas, incluindo a estrutura, as listas de códigos e as regras comerciais, estabelecidas pelo Regulamento Delegado (UE) 2024/2024.
Artigo 9.o
Operações de tratamento
1. As plataformas eFTI devem dispor de funcionalidades que permitam aos utilizadores profissionais, após validação dos seus direitos de tratamento através do mecanismo de autorização a que se refere o artigo 5.o, efetuar as seguintes operações de tratamento de dados eFTI:
|
a) |
Criar eFTI CMDS; |
|
b) |
Editar eFTI CMDS; |
|
c) |
Ler dados eFTI CMDS; |
|
d) |
Descarregar uma cópia dos dados eFTI CMDS |
|
e) |
Assinatura do expedidor; |
|
f) |
Assinatura do transportador; |
|
g) |
Assinatura do destinatário; |
|
h) |
«Carimbo» de transporte combinado aposto pela autoridade competente no porto marítimo, no porto de navegação interior ou na estação ferroviária; |
|
i) |
Arquivar eFTI CMDS. |
2. As funcionalidades das plataformas eFTI referidas no artigo 6.o devem permitir que os utilizadores profissionais, após validação dos seus direitos de tratamento através do mecanismo de autorização a que se refere o artigo 5.o, efetuem as seguintes operações de tratamento de dados eFTI:
|
a) |
Descarregar uma cópia dos documentos de transferência de resíduos; |
|
b) |
Submeter as confirmações de transferência dos transportadores de resíduos, em conformidade com o anexo II, parte B, ponto 3, e parte C, ponto 3, do Regulamento de Execução (UE) 2025/1290; |
|
c) |
Editar as confirmações de transferência dos transportadores de resíduos submetidas, em conformidade com o anexo II, parte B, ponto 4, e parte C, ponto 4, do Regulamento de Execução (UE) 2025/1290. |
3. As operações de tratamento referidas nos n.os 1 e 2 são as especificadas no anexo, juntamente com as ações a executar pelas plataformas eFTI, a fim de permitir que os utilizadores profissionais efetuem essas operações.
4. Antes de permitir que um utilizador profissional efetue operações de tratamento de dados eFTI, a plataforma informa o utilizador através de uma mensagem claramente redigida que, ao tratar os dados na plataforma eFTI, o utilizador autoriza que:
|
a) |
Os dados tratados pelo utilizador profissional sejam automaticamente disponibilizados às autoridades competentes, especificamente sempre que a plataforma eFTI receba de uma autoridade competente um pedido de acesso a dados eFTI relativo ao eFTI CMDS específico de que esses dados fazem parte; |
|
b) |
Seja registada uma pista de auditoria das operações de tratamento de dados efetuadas pelo utilizador profissional, em conformidade com o disposto no n.o 6, que pode ser disponibilizada às autoridades competentes para consulta, em conformidade com o direito da União ou o direito nacional aplicável. |
5. As plataformas eFTI devem documentar cada operação de tratamento efetuada por um utilizador profissional num eFTI CMDS, registando, em relação a cada elemento de dados tratado, as seguintes informações:
|
a) |
O UUID do eFTI CMDS; |
|
b) |
No caso de utilizadores integrados, uma identificação codificada associada à respetiva conta de utilizador; |
|
c) |
No caso de utilizadores não integrados, a informação de identificação fornecida pelo utilizador no contexto da autenticação de dois fatores a que se refere o artigo 5.o, n.o 5, alínea c); |
|
d) |
A data e a hora; |
|
e) |
O tipo de operação efetuada, identificada em conformidade com os n.os 1 e 2. Quando a operação de tratamento implicar a alteração ou supressão do valor de um elemento de dados, o valor original do elemento de dados deve também ser mantido. |
6. As plataformas eFTI devem registar e manter os dados eFTI CMDS, de modo que sejam facilmente acessíveis tanto por parte dos utilizadores profissionais como das autoridades competentes, num sistema de armazenamento de dados em linha, pelo menos durante o período em que o estado do eFTI CMDS esteja «ativo» e, se for caso disso, «inativo», conforme atribuído pela plataforma eFTI em conformidade com as especificações estabelecidas no anexo do presente regulamento.
7. As plataformas eFTI devem manter os eFTI CMDS com o estado «pronto a arquivar» ou «arquivado», bem como os registos das operações de tratamento conexos, acessíveis às autoridades competentes durante os períodos referidos no artigo 9.o, n.o 1, alínea i), do Regulamento (UE) 2020/1056.
8. As plataformas eFTI devem apagar todas as informações que constituam dados pessoais, em conformidade com o Regulamento (UE) 2016/679, num prazo razoável após o termo dos períodos referidos no n.o 8.
Artigo 10.o
Interfaces de utilizador homem-máquina
1. As interfaces de utilizador homem-máquina a que se refere o artigo 4.o, n.o 1, alínea a), devem dispor das seguintes funcionalidades Web ou baseadas em aplicações:
|
a) |
Permitir que os utilizadores profissionais interajam com a plataforma eFTI para efeitos de identificação, autenticação e autorização por esta plataforma, em conformidade com os artigos 4.o e 5.°, e para o tratamento de dados eFTI na plataforma eFTI, em conformidade com os artigos 5.o e 9.°; |
|
b) |
Permitir que os utilizadores autorizados descarreguem a ligação de identificação eletrónica única (UIL) do eFTI CMDS e a comuniquem às autoridades competentes num formato legível por máquina; |
|
c) |
Permitir que os utilizadores autorizados descarreguem uma cópia do eFTI CMDS em formato legível pelo homem e, se for caso disso, dos documentos de transferência de resíduos, e apresentem essas cópias para inspeção pelos agentes das autoridades competentes, quando estes o solicitem, em conformidade com o artigo 4.o, n.o 2, do Regulamento (UE) 2020/1056. |
2. As cópias em formato legível pelo homem a que se refere o n.o 1, alínea d), devem incluir uma referência codificada, legível por máquina, da marca de certificação da plataforma eFTI e uma indicação da data e hora do descarregamento sob a forma de selo temporal.
3. As interfaces homem-máquina das plataformas eFTI devem incluir mecanismos de proteção do acesso para impedir o acesso não autorizado aos dados eFTI e às funcionalidades da plataforma eFTI quando o dispositivo através do qual o utilizador profissional acede à plataforma eFTI não estiver sob o controlo do utilizador.
CAPÍTULO IV
MEDIDAS DE DISPONIBILIDADE, SEGURANÇA E RESILIÊNCIA
Artigo 11.o
Disponibilidade
As plataformas eFTI devem permanecer acessíveis às autoridades competentes, conforme especificado no artigo 3.o, pelo menos durante o período em que o estado dos eFTI CMDS registados nessas plataformas esteja «ativo» e, se for caso disso, «inativo», conforme atribuído pela plataforma eFTI em conformidade com as especificações estabelecidas no anexo do presente regulamento.
Artigo 12.o
Segurança dos intercâmbios de dados
1. Para a comunicação com uma porta eFTI, as plataformas eFTI devem:
|
a) |
Manter um ponto de acesso eDelivery, em conformidade com as especificações de intercâmbio de mensagens eDelivery, ou um ponto de acesso conforme com as especificações equivalentes de intercâmbio de mensagens suportadas pela porta eFTI, se essas especificações de intercâmbio de mensagens forem estabelecidas por um Estado-Membro em conformidade com o artigo 9.o, n.o 4, do Regulamento de Execução (UE) 2024/1942; |
|
b) |
Utilizar procedimentos e protocolos seguros para receber, registar, extrair e validar as chaves de segurança ou os certificados de segurança da porta eFTI. |
2. Os pontos de acesso a que se refere o n.o 1, alínea a), devem utilizar certificados de segurança emitidos, por intermédio de uma autoridade de certificação, pelo Estado-Membro no qual a plataforma eFTI recebeu o certificado de conformidade referido no artigo 12.o, n.o 1, do Regulamento (UE) 2020/1056.
3. Todas as comunicações entre a plataforma eFTI e a porta eFTI devem ocorrer através do intercâmbio de mensagens em conformidade com as especificações estabelecidas no artigo 9.o, n.os 3 e 4, do Regulamento de Execução (UE) 2024/1942.
4. No caso da comunicação com sistemas de TIC tributários ou outros sistemas de TIC externos que alojem componentes que executem determinadas funcionalidades da plataforma eFTI, as plataformas eFTI devem, no mínimo:
|
a) |
Manter pontos de acesso com chaves de segurança ou certificados de segurança válidos; |
|
b) |
Utilizar procedimentos e protocolos securizados para receber, registar, extrair e validar as chaves de segurança ou os certificados de segurança desses outros sistemas de TIC. |
5. No caso da comunicação com o DIWASS, as plataformas eFTI devem:
|
a) |
Manter pontos de acesso que cumpram as especificações referidas no artigo 12.o do Regulamento de Execução (UE) 2025/1290; |
|
b) |
Utilizar procedimentos e protocolos securizados para receber, registar, extrair e validar a chave de segurança do DIWASS. |
|
c) |
Manter uma interface de programação de aplicações que lhe permita receber do DIWASS dados relacionados com a assinatura do destinatário, quando este for uma instalação de tratamento de resíduos, tal como referido no Regulamento (UE) 2024/1157. |
Artigo 13.o
Segurança dos dados armazenados
Os operadores de plataformas eFTI devem estabelecer e aplicar medidas para assegurar a segurança e a preservação dos dados armazenados nas plataformas eFTI, nomeadamente:
|
a) |
Sempre que os dados eFTI sejam armazenados em dispositivos físicos de armazenamento geridos pelo operador da plataforma:
|
|
b) |
Sempre que os dados eFTI sejam armazenados através de armazenamento em nuvem, medidas para assegurar que o espaço desse armazenamento seja adquirido a prestadores de serviços que cumpram as principais normas internacionais e as melhores práticas em matéria de segurança e proteção de dados pessoais na nuvem; |
|
c) |
Medidas destinadas a assegurar que os dados eFTI são armazenados na União ou sob a jurisdição da União ou dos Estados-Membros. |
CAPÍTULO V
DISPOSIÇÕES FINAIS
Artigo 14.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 6 de novembro de 2025.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 249 de 31.7.2020, p. 33, ELI: http://data.europa.eu/eli/reg/2020/1056/oj.
(2) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj.
(3) Regulamento de Execução (UE) 2024/1942 da Comissão, de 5 de julho de 2024, que estabelece procedimentos comuns e regras detalhadas para o acesso e o tratamento de informações eletrónicas sobre o transporte de mercadorias pelas autoridades competentes em conformidade com o Regulamento (UE) 2020/1056 do Parlamento Europeu e do Conselho (JO L, 2024/1942, 20.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/1942/oj).
(4) Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
(5) Regulamento Delegado (UE) 2024/2024 da Comissão, de 26 de julho de 2024, que completa o Regulamento (UE) 2020/1056 estabelecendo o conjunto comum de dados eFTI e os subconjuntos de dados eFTI (JO L, 2024/2024, 20.12.2024, ELI: http://data.europa.eu/eli/reg_del/2024/2024/oj).
(6) Regulamento (UE) 2024/1157 do Parlamento Europeu e do Conselho, de 11 de abril de 2024, relativo às transferências de resíduos e que altera os Regulamentos (UE) n.o 1257/2013 e (UE) 2020/1056 e que revoga o Regulamento (CE) n.o 1013/2006 (JO L, 2024/1157, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1157/oj).
(7) Regulamento de Execução (UE) 2025/1290 da Comissão, de 2 de julho de 2025, que estabelece regras de execução do Regulamento (UE) 2024/1157 do Parlamento Europeu e do Conselho no respeitante aos requisitos necessários à interoperabilidade entre o sistema central de envio e intercâmbio eletrónicos de informações e documentos relacionados com transferências de resíduos e outros sistemas ou software, bem como a outros requisitos técnicos e organizativos necessários para a aplicação prática desse envio e intercâmbio eletrónicos de informações e documentos (JO L, 2025/1290, 14.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1290/oj).
(8) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(9) https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=pt&groupID=3280.
(10) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(11) Diretiva 92/106/CEE do Conselho, de 7 de dezembro de 1992, relativa ao estabelecimento de regras comuns para certos transportes combinados de mercadorias entre Estados-Membros (JO L 368 de 17.12.1992, p. 38, ELI: http://data.europa.eu/eli/dir/1992/106/oj).
ANEXO
OPERAÇÕES DE TRATAMENTO DE DADOS A EFETUAR POR UTILIZADORES PROFISSIONAIS NAS PLATAFORMAS EFTI
(referidas no artigo 9.o)
O quadro seguinte descreve as operações de tratamento de dados eFTI passíveis de serem efetuadas por utilizadores profissionais nas plataformas eFTI, nos termos do artigo 9.o, n.o 1 e 2, e as ações automáticas que as plataformas eFTI devem executar para assegurar a realização dessas operações de tratamento, sendo que:
|
a) |
A coluna com o título «Operação» indica o nome abreviado que identifica a operação de tratamento referida no artigo 9.o, n.o 1 ou 2; |
|
b) |
A coluna com o título «Ação do utilizador profissional» descreve as ações passíveis de serem executadas pelos utilizadores profissionais nas plataformas eFTI a fim de efetuar a operação de tratamento correspondente; |
|
c) |
A coluna com o título «Ação da plataforma eFTI» descreve as ações que as plataformas eFTI devem executar, no mínimo, em conjunto com as ações correspondentes dos utilizadores profissionais, a fim de assegurar a conclusão dessa operação. Quadro
|
(1) Regulamento (CE) n.o 1072/2009 do Parlamento Europeu e do Conselho, de 21 de outubro de 2009, que estabelece regras comuns para o acesso ao mercado do transporte internacional rodoviário de mercadorias (JO L 300 de 14.11.2009, p. 72, ELI: http://data.europa.eu/eli/reg/2009/1072/oj).
ELI: http://data.europa.eu/eli/reg_impl/2025/2243/oj
ISSN 1977-0774 (electronic edition)