REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2024/2979 AL COMISIEI

din 28 noiembrie 2024

de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește integritatea și funcționalitățile de bază ale portofelelor europene pentru identitatea digitală

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (1), în special articolul 5a alineatul (23),

întrucât:

(1)

Cadrul pentru identitatea digitală europeană instituit prin Regulamentul (UE) nr. 910/2014 este o un element-cheie în cadrul demersului de instituire a unui ecosistem pentru identitatea digitală securizat și interoperabil în întreaga Uniune. Portofelele europene pentru identitatea digitală (denumite în continuare „portofelele”) alcătuiesc temelia acestui cadru care are drept scop facilitarea accesului la servicii în toate statele membre, atât pentru persoanele fizice, cât și pentru cele juridice, asigurând în același timp protecția datelor cu caracter personal și a confidențialității.

(2)	Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (2) și, după caz, Directiva 2002/58/CE a Parlamentului European și a Consiliului (3) se aplică tuturor activităților de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.

(3)

Articolul 5a alineatul (23) din Regulamentul (UE) nr. 910/2014 împuternicește Comisia să stabilească, dacă este necesar, specificațiile și procedurile relevante. Pentru aceasta sunt prevăzute patru regulamente de punere în aplicare: unul privind protocoalele și interfețele: Regulamentul de punere în aplicare (UE) 2024/2982 al Comisiei (4), unul privind integritatea și funcționalitățile de bază: Regulamentul de punere în aplicare (UE) 2024/2979 al Comisiei (5), unul privind datele de identificare personală și atestatul electronic al atributelor: Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei (6) și unul privind notificările efectuate către Comisie: Regulamentul de punere în aplicare (UE) 2024/2980 al Comisiei (7). Prezentul regulament stabilește cerințele relevante privind integritatea și funcționalitățile de bază ale portofelelor europene pentru identitatea digitală.

(4)

Comisia evaluează periodic noile tehnologii, practici, standarde sau specificații tehnice. Pentru a asigura cel mai înalt nivel de armonizare între statele membre în ceea ce privește dezvoltarea și certificarea portofelelor, specificațiile tehnice prevăzute în prezentul regulament se întemeiază pe activitatea desfășurată pe baza Recomandării (UE) 2021/946 a Comisiei din 3 iunie 2021 privind un set de instrumente comun al Uniunii pentru o abordare coordonată în direcția unui cadru european al identității digitale (8), în special, arhitectura și cadrul de referință. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului (9), Comisia ar trebui să revizuiască și să actualizeze prezentul regulament de punere în aplicare, dacă este necesar, pentru a îl menține aliniat la evoluțiile mondiale și la arhitectura și cadrul de referință, precum și pentru a respecta cele mai bune practici de pe piața internă.

(5)

Pentru a asigura o comunicare precisă, o diferențiere tehnică și o repartizare clară a responsabilităților, este necesar să se facă distincția între diferitele componente și configurații ale portofelelor. Prin „soluție pentru portofel” ar trebui să se înțeleagă sistemul complet, pus la dispoziție de un furnizor de portofel, care este necesar pentru operarea unui portofel. Soluția pentru portofel ar trebui să includă componentele software și hardware, precum și serviciile, setările și configurațiile necesare pentru a asigura funcționarea corespunzătoare a portofelului. O soluție pentru portofel se poate afla pe dispozitivele și mediile utilizatorilor și pe structura back-end a furnizorului. O unitate de portofel ar trebui înțeleasă ca o configurație specifică a soluției pentru portofel pentru un utilizator individual. Aceasta ar trebui să includă aplicația instalată pe dispozitivul sau mediul utilizatorului portofelului cu care acesta interacționează direct („instanța portofelului”) și caracteristicile de securitate necesare pentru protejarea datelor și a tranzacțiilor utilizatorilor. Aceste caracteristici de securitate ar trebui să implice utilizarea de software sau hardware special pentru criptarea și protejarea informațiilor sensibile. O instanță a portofelului ar trebui să facă parte din unitatea de portofel și să îi permită utilizatorului portofelului să aibă acces la funcționalitățile portofelului său.

(6)

Aplicațiile criptografice securizate pentru portofel, în calitatea lor de componente specializate separate din cadrul unei unități de portofel, sunt necesare nu numai pentru protejarea activelor critice, cum ar fi cheile private criptografice, ci și pentru furnizarea unor funcționalități esențiale, cum ar fi prezentarea atestatelor electronice ale atributelor. Utilizarea specificațiilor tehnice comune poate facilita accesul furnizorilor de portofele la elementele de securitate integrate. Aplicațiile criptografice securizate pentru portofel pot fi furnizate în diferite moduri și către diferite tipuri de dispozitive criptografice securizate pentru portofel. În cazul în care aplicațiile criptografice securizate pentru portofel personalizate sub furnizate de furnizorii de portofele sub formă de appleturi Java Card pentru elementele de securitate integrate, furnizorii de portofele ar trebui să respecte standardele enumerate în anexa I sau specificații tehnice echivalente.

(7)	Unitățile de portofel trebuie să le permită furnizorilor de date de identificare personală sau de atestate electronice ale atributelor să verifice dacă emit datele sau atestatele respective unor unități de portofel reale ale utilizatorului portofelului.

(8)

Pentru a asigura protecția datelor începând cu momentul conceperii și în mod implicit, portofelele ar trebui să dispună de tehnici de îmbunătățire a confidențialității de ultimă generație. Aceste caracteristici ar trebui să ofere posibilitatea utilizării portofelelor fără ca utilizatorul portofelului să poată fi urmărit între mai mulți beneficiari ai portofelelor, dacă acest lucru este aplicabil în scenariul de utilizare. De exemplu, furnizorii de portofele ar trebui să aibă în vedere, cu privire la atestatele unității de portofel, măsuri de ultimă generație de atenuare a riscurilor la adresa confidențialității, de exemplu să utilizeze atestate ale unității de portofel efemere sau atestate emise în loturi. În plus, politicile de divulgare încorporate ar trebui să îi avertizeze pe utilizatorii portofelelor cu privire la pericolul divulgării necorespunzătoare sau ilegale a atributelor din atestatele electronice ale atributelor.

(9)

Atestatele unităților de portofel ar trebui să le permită beneficiarilor portofelelor care solicită atribute de la unitățile de portofel să verifice statutul de valabilitate al unității de portofel cu care comunică, întrucât atestatele unităților de portofel trebuie revocate atunci când o unitate de portofel nu mai este considerată valabilă. Informațiile privind statutul de valabilitate al unităților de portofel ar trebui să fie puse la dispoziție într-o manieră interoperabilă, astfel încât să se asigure faptul că acestea pot fi utilizate de toți beneficiarii portofelelor. În plus, în cazurile în care utilizatorii portofelelor și-au pierdut unitățile de portofel sau nu mai dețin controlul asupra acestora, furnizorii de portofele ar trebui să le permită utilizatorilor portofelelor să solicite revocarea unității lor de portofel. Pentru a asigura confidențialitatea și imposibilitatea stabilirii unei legături, statele membre ar trebui să utilizeze tehnici de menținere a confidențialității inclusiv pentru atestatele unităților de portofel. Acest lucru poate presupune utilizarea mai multor atestate ale unităților de portofel în diferite scopuri, divulgarea numai a informațiilor despre portofel minim relevante necesare pentru derularea unei tranzacții sau limitarea duratei de viață a atestatelor unităților de portofel ca alternativă la utilizarea identificatorilor de revocare.

(10)

Pentru a se asigura faptul că toate portofelele sunt capabile din punct de vedere tehnic să primească și să prezinte date de identificare personală și atestate electronice ale atributelor în situații transfrontaliere, fără ca acest lucru să afecteze interoperabilitatea, portofelele ar trebui să suporte tipuri prestabilite de formate de date și o divulgare selectivă. Astfel cum se prevede în Regulamentul (UE) nr. 910/2014, divulgarea selectivă este un concept care îi permite proprietarului datelor să divulge numai anumite părți ale unui set de date mai mare, astfel încât entitatea destinatară să obțină numai acele informații care sunt necesare pentru furnizarea unui serviciu solicitat de utilizatorul în cauză. Întrucât portofelele trebuie să îi permită utilizatorului să divulge în mod selectiv atribute, standardele enumerate în anexa II ar trebui să fie puse în aplicare într-un mod care să facă posibilă această caracteristică a portofelelor. În plus, portofelele pot suporta și alte formate și funcționalități, astfel încât să se faciliteze cazurile specifice de utilizare.

(11)

Jurnalizarea tranzacțiilor este un instrument important pentru asigurarea transparenței, oferind utilizatorilor portofelelor o imagine de ansamblu asupra tranzacțiilor. În plus, jurnalele de tranzacții ar trebui utilizate pentru a permite schimbul rapid și ușor al anumitor informații, la cererea utilizatorului portofelului, cu autoritățile de supraveghere competente instituite în temeiul articolului 51 din Regulamentul (UE) 2016/679, în cazul unui comportament suspect al beneficiarilor portofelului.

(12)

Pentru ca un utilizator al portofelului să poată utiliza o semnătură electronică, acestuia ar trebui să i se emită un certificat calificat, legat de un dispozitiv calificat de creare a semnăturii electronice. Utilizatorul portofelului ar trebui să aibă acces la o aplicație de creare a semnăturii. Deși emiterea de certificate calificate este un serviciu furnizat de prestatorii de servicii de încredere calificați, furnizorii de portofele sau alte entități ar trebui să fie în măsură să furnizeze celelalte componente. De exemplu, dispozitivele calificate de creare a semnăturii electronice pot fi gestionate de prestatorii de servicii de încredere calificați sub formă de serviciu sau pot fi localizate pe dispozitivul utilizatorului portofelului, de exemplu, sub forma unui card inteligent. În mod similar, aplicațiile de creare a semnăturii pot fi integrate în instanța portofelului, pot fi o aplicație separată pe dispozitivul utilizatorului portofelului sau pot fi furnizate de la distanță.

(13)

Obiectele de export de date și de portabilitate a datelor pot jurnaliza datele de identificare personală și atestatele electronice ale atributelor care au fost emise unei anumite unități de portofel. Aceste obiecte le permit utilizatorilor portofelelor să extragă datele relevante din unitatea lor de portofel pentru a-și consolida dreptul la portabilitatea datelor. Furnizorii de portofele sunt încurajați să utilizeze aceleași soluții tehnice și pentru a efectua procese de backup și de recuperare pentru unitățile de portofel, făcând astfel posibilă recuperarea unităților de portofel pierdute sau transferul informațiilor de la un furnizor de portofel la altul, după caz și în măsura în care acest lucru poate fi realizat fără a aduce atingere dreptului la protecția datelor și securității ecosistemului pentru identitatea digitală.

(14)

Generarea de pseudonime specifice unui anumit beneficiar al portofelului ar trebui să le permită utilizatorilor portofelelor să se autentifice fără să furnizeze beneficiarilor portofelelor informații de care aceștia nu au nevoie. Astfel cum se prevede în Regulamentul (UE) nr. 910/2014, utilizatorii portofelelor nu trebuie să fie împiedicați să acceseze servicii sub un pseudonim, în cazul în care nu există nicio cerință legală privind identitatea juridică pentru autentificare. Prin urmare, portofelele trebuie să includă o funcționalitate care să permită generarea de pseudonime alese și gestionate de utilizatori, pentru ca aceștia să se poată autentifica atunci când accesează servicii online. Specificațiile prevăzute în anexa V ar trebui puse în aplicare astfel încât să facă posibile aceste funcționalități în mod corespunzător. În plus, beneficiarii portofelelor nu trebuie să solicite utilizatorilor să furnizeze alte date decât cele care corespund utilizării preconizate a portofelelor, indicate în registrul beneficiarilor. Utilizatorii portofelelor ar trebui să poată verifica în orice moment datele de înregistrare ale beneficiarilor.

(15)

Astfel cum se prevede în Regulamentul (UE) 2024/1183, statele membre nu trebuie să limiteze, nici în mod direct, nici indirect, accesul persoanelor fizice sau juridice care optează să nu utilizeze portofele la serviciile publice sau private și trebuie să le pună acestora la dispoziție soluții alternative adecvate.

(16)	Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (10) și a emis un aviz la 30 septembrie 2024.

(17)	Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului menționat la articolul 48 din Regulamentul (UE) nr. 910/2014,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și domeniu de aplicare

Prezentul regulament stabilește norme privind integritatea și funcționalitățile de bază ale portofelelor și trebuie actualizat periodic pentru a le menține aliniate la evoluțiile tehnologice și ale standardelor și la activitatea desfășurată pe baza Recomandării (UE) 2021/946, în special la arhitectura și cadrul de referință.

Articolul 2

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

1.	„aplicație criptografică securizată pentru portofel” înseamnă o aplicație care gestionează active critice prin faptul că este legată de funcțiile criptografice și necriptografice furnizate de dispozitivul criptografic securizat pentru portofel și că utilizează aceste funcții;

„unitate de portofel” înseamnă o configurație unică a unei soluții pentru portofel care include instanțe ale portofelului, aplicații criptografice securizate pentru portofel și dispozitive criptografice securizate pentru portofel, furnizată de un furnizor de portofel unui utilizator individual al portofelului;

„active critice” înseamnă active din cadrul unei unități de portofel sau legate de o astfel de unitate care au o importanță atât de extraordinară încât, în cazul în care disponibilitatea, confidențialitatea sau integritatea lor este compromisă, acest lucru ar avea un efect foarte grav, de slăbire a capacității de a recurge la unitatea de portofel;

4.	„furnizor de date de identificare personală” înseamnă o persoană fizică sau juridică responsabilă cu emiterea și revocarea datelor de identificare personală și cu asigurarea faptului că datele de identificare personală ale unui utilizator sunt legate criptografic de o unitate de portofel;

5.	„utilizator al portofelului” înseamnă un utilizator care deține controlul asupra unității de portofel;

6.	„beneficiar al portofelului” înseamnă un beneficiar care intenționează să recurgă la unități de portofel pentru furnizarea de servicii publice sau private prin intermediul interacțiunii digitale;

7.	„furnizor de portofel” înseamnă o persoană fizică sau juridică care furnizează soluții pentru portofel;

8.	„atestat al unității de portofel” înseamnă un obiect de date care descrie componentele unității de portofel sau permite autentificarea și validarea componentelor respective;

9.	„politică de divulgare încorporată” înseamnă un set de norme, încorporat într-un atestat electronic al atributelor de către furnizorul acestuia, care precizează condițiile pe care trebuie să le îndeplinească un beneficiar al portofelului pentru a avea acces la atestatul electronic al atributelor;

10.	„instanță a portofelului” înseamnă aplicația instalată și configurată pe dispozitivul sau în mediul unui utilizator al portofelului, care face parte dintr-o unitate de portofel și pe care utilizatorul portofelului o folosește pentru a interacționa cu unitatea de portofel;

11.	„soluție pentru portofel” înseamnă o combinație de software, hardware, servicii, setări și configurații, inclusiv instanțe ale portofelului, una sau mai multe aplicații criptografice securizate pentru portofel și unul sau mai multe dispozitive criptografice securizate pentru portofel;

12.

„dispozitiv criptografic securizat pentru portofel” înseamnă un dispozitiv inviolabil care oferă un mediu legat de aplicația criptografică securizată pentru portofel și utilizat de aceasta pentru a proteja activele critice și pentru a furniza funcții criptografice pentru executarea securizată a operațiunilor critice;

13.	„operațiune criptografică pentru portofel” înseamnă un mecanism criptografic necesar în contextul autentificării utilizatorului portofelului și al emiterii sau prezentării de date de identificare personală sau de atestate electronice ale atributelor;

14.	„certificat de acces pentru beneficiarii portofelelor” înseamnă un certificat pentru sigiliile electronice sau semnăturile electronice care îi autentifică și îi validează pe beneficiarii portofelelor, eliberat de un furnizor de certificate de acces pentru beneficiarii portofelelor;

15.	„furnizor de certificate de acces pentru beneficiarii portofelelor” înseamnă o persoană fizică sau juridică mandatată de un stat membru să elibereze certificate de acces pentru beneficiarii portofelelor înregistrați în statul membru respectiv.

CAPITOLUL II

INTEGRITATEA PORTOFELELOR EUROPENE PENTRU IDENTITATEA DIGITALĂ

Articolul 3

Integritatea unității de portofel

(1) Unitățile de portofel nu execută niciuna dintre funcționalitățile enumerate la articolul 5a alineatul (4) din Regulamentul (UE) nr. 910/2014, cu excepția autentificării utilizatorului portofelului pentru a permite accesarea unității de portofel, până când unitatea de portofel nu l-a autentificat pe utilizatorul portofelului.

(2) Furnizorii de portofele trebuie să semneze sau să sigileze, pentru fiecare unitate de portofel, cel puțin un atestat al unității de portofel care îndeplinește cerințele prevăzute la articolul 6. Certificatul utilizat pentru a semna sau a sigila atestatul unității de portofel se eliberează în cadrul unui certificat enumerat în lista de încredere menționată în Regulamentul de punere în aplicare (UE) 2024/2980.

Articolul 4

Instanțe ale portofelului

(1) Instanțele portofelelor utilizează cel puțin un dispozitiv criptografic securizat pentru gestionarea activelor critice.

(2) Furnizorii de portofele asigură integritatea, autenticitatea și confidențialitatea comunicării dintre instanțele portofelului și aplicațiile criptografice securizate pentru portofel.

(3) În cazul în care activele critice sunt legate de efectuarea identificării electronice la un nivel de asigurare ridicat, operațiunile criptografice pentru portofel sau alte operațiuni de prelucrare a activelor critice se efectuează în conformitate cu cerințele privind caracteristicile și proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502 al Comisiei (11).

Articolul 5

Aplicații criptografice securizate pentru portofel

(1) Furnizorii de portofele se asigură că aplicațiile criptografice securizate pentru portofel:

(a)	efectuează operațiuni criptografice pentru portofel care implică active critice, altele decât cele necesare pentru ca unitatea de portofel să îl autentifice pe utilizatorul portofelului, numai în cazurile în care aplicațiile respective i-au autentificat pe utilizatorii portofelelor;

(b)

atunci când îi autentifică pe utilizatorii portofelelor în contextul efectuării identificării electronice la un nivel de asigurare ridicat, efectuează autentificarea utilizatorilor portofelelor în conformitate cu cerințele privind caracteristicile și proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502;

(c)	sunt în măsură să genereze în mod securizat noi chei criptografice;

(d)	sunt în măsură să efectueze ștergerea într-un mod securizat a activelor critice;

(e)	sunt în măsură să genereze o dovadă a deținerii unor chei private;

(f)	protejează cheile private generate de aplicațiile criptografice securizate pentru portofel pe durata existenței cheilor;

(g)	respectă cerințele privind caracteristicile și proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502;

(h)	sunt singurele componente capabile să execute operațiuni criptografice pentru portofel și orice altă operațiune cu active critice în contextul efectuării identificării electronice la un nivel de asigurare ridicat.

(2) În cazul în care decid să furnizeze o aplicație criptografică securizată pentru portofel unui element de securitate integrat, furnizorii de portofele își bazează soluția tehnică pe specificațiile tehnice enumerate în anexa I sau pe alte specificații tehnice echivalente.

Articolul 6

Autenticitatea și valabilitatea unității de portofel

(1) Furnizorii de portofele se asigură că fiecare unitate de portofel conține atestate ale unităților de portofel.

(2) Furnizorii de portofele se asigură că atestatele unităților de portofel menționate la alineatul (1) conțin chei publice și că cheile private corespunzătoare sunt protejate de un dispozitiv criptografic securizat pentru portofel.

(3) Furnizorii de portofele:

(a)	îi informează pe utilizatorii portofelelor cu privire la drepturile și obligațiile care le revin în legătură cu unitatea lor de portofel;

(b)	furnizează mecanisme, independente de unitățile de portofel, pentru identificarea și autentificarea securizată a utilizatorilor portofelelor;

(c)	se asigură că utilizatorii portofelelor au dreptul să solicite revocarea atestatelor unităților lor de portofel, utilizând mecanismele de autentificare menționate la litera (b).

Articolul 7

Revocarea atestatelor unităților de portofel

(1) Furnizorii de portofele sunt singurele entități care pot revoca atestatele unităților de portofel pe care le-au furnizat.

(2) Furnizorii de portofele stabilesc politici accesibile publicului în care precizează condițiile în care pot fi revocate atestatele unităților de portofel și termenele aplicabile unei astfel de revocări.

(3) În cazul în care au revocat atestatele unităților de portofel, furnizorii de portofele îi informează pe utilizatorii portofelelor afectați de revocare, în termen de 24 de ore de la revocarea unităților lor de portofel, indicând motivul revocării și consecințele acestei revocări pentru utilizatorii portofelelor. Această informare se efectuează într-o manieră concisă, care este ușor accesibilă și utilizează un limbaj clar și simplu.

(4) În cazul în care au revocat atestatele unităților de portofel, furnizorii de portofele informează publicul larg cu privire la statutul de valabilitate al atestatelor unităților de portofel într-o manieră care să protejeze confidențialitatea și indică unde se află informațiile respective în atestatele unităților de portofel.

CAPITOLUL III

FUNCȚIONALITĂȚILE DE BAZĂ ȘI CARACTERISTICILE PORTOFELELOR EUROPENE PENTRU IDENTITATEA DIGITALĂ

Articolul 8

Formate pentru datele de identificare personală și atestatele electronice ale atributelor

Furnizorii de portofele se asigură că soluțiile pentru portofel suportă utilizarea datelor de identificare personală și a atestatelor electronice ale atributelor emise în conformitate cu lista de standarde care figurează în anexa II.

Articolul 9

Jurnalele de tranzacții

(1) Indiferent dacă o tranzacție a fost sau nu finalizată cu succes, instanțele portofelelor jurnalizează toate tranzacțiile cu beneficiarii portofelelor și cu alte unități de portofel, inclusiv semnăturile electronice și sigiliile electronice.

(2) Informațiile jurnalizate trebuie să conțină cel puțin:

(a)	data și ora tranzacției;

(b)	numele, datele de contact și identificatorul unic al beneficiarului portofelului corespunzător și statul membru în care este stabilit beneficiarul portofelului sau, în cazul altor unități de portofel, informațiile relevante conținute în atestatul unității de portofel;

(c)	tipul sau tipurile de date solicitate și prezentate în tranzacție;

(d)	în cazul tranzacțiilor nefinalizate, motivul nefinalizării.

(3) Furnizorii de portofele asigură integritatea, autenticitatea și confidențialitatea informațiilor jurnalizate.

(4) Instanțele portofelelor jurnalizează rapoartele trimise de utilizatorul portofelului autorităților de protecție a datelor prin intermediul unității sale de portofel.

(5) Jurnalele menționate la alineatele (1) și (2) trebuie să poată fi accesate de furnizorul de portofel, în măsura în care acest lucru este necesar pentru furnizarea serviciilor de portofel, pe baza consimțământului prealabil explicit al utilizatorului portofelului.

(6) Jurnalele menționate la alineatele (1) și (2) trebuie să rămână accesibile atât timp cât este considerat necesar în temeiul dreptului Uniunii sau al dreptului național.

(7) Furnizorii de portofele le dau posibilitatea utilizatorilor portofelelor să exporte informațiile jurnalizate menționate la alineatul (2).

Articolul 10

Divulgare încorporată

(1) Furnizorii de portofele se asigură că atestatele electronice ale atributelor pentru care există politici comune de divulgare încorporate, astfel cum se prevede în anexa III, pot fi prelucrate de unitățile de portofel furnizate de aceștia.

(2) Instanțele portofelului trebuie să fie în măsură să prelucreze și să prezinte aceste politici de divulgare încorporate menționate la alineatul (1) împreună cu datele primite de beneficiarii portofelelor solicitanți.

(3) Instanțele portofelelor verifică dacă beneficiarii portofelelor respectă cerințele politicii de divulgare încorporate și îi informează pe utilizatorii portofelelor cu privire la rezultat.

Articolul 11

Semnături și sigilii electronice calificate

(1) Furnizorii de portofele se asigură că utilizatorii portofelelor pot primi certificate calificate pentru semnăturile sau sigiliile electronice calificate care sunt legate de dispozitive calificate de creare a semnăturii sau a sigiliului ce sunt fie locale, fie externe, fie la distanță față de instanțele portofelelor.

(2) Furnizorii de portofele se asigură că soluțiile pentru portofel sunt în măsură să asigure o interfață securizată cu unul dintre următoarele tipuri de dispozitive calificate de creare a semnăturii sau a sigiliului: dispozitive calificate de creare a semnăturii sau a sigiliului care sunt locale, externe sau gestionate de la distanță în scopul utilizării certificatelor calificate menționate la alineatul (1).

(3) Furnizorii de portofele se asigură că utilizatorii portofelelor care sunt persoane fizice au acces gratuit, cel puțin în scopuri neprofesionale, la aplicațiile de creare a semnăturii care permit crearea de semnături electronice calificate gratuite utilizând certificatele menționate la alineatul (1).

Articolul 12

Aplicații de creare a semnăturii

(1) Aplicațiile de creare a semnăturii utilizate de unitățile de portofel pot fi furnizate de furnizorii de portofele, de prestatorii de servicii de încredere sau de beneficiarii portofelelor.

(2) Aplicațiile de creare a semnăturii au următoarele funcții:

(a)	semnează sau sigilează datele furnizate de utilizatorii portofelelor;

(b)	semnează sau sigilează datele furnizate de beneficiarii portofelelor;

(c)	creează semnături sau sigilii în conformitate cel puțin cu formatele obligatorii menționate în anexa IV;

(d)	îi informează pe utilizatorii portofelelor cu privire la rezultatul procesului de creare a semnăturii sau a sigiliului.

(3) Aplicațiile de creare a semnăturii pot să fie integrate în instanțele portofelelor sau să fie externe acestora. În cazul în care recurg la dispozitive calificate de creare a semnăturii la distanță și sunt integrate în instanțele portofelelor, aplicațiile de creare a semnăturii trebuie să suporte interfața de programare a aplicațiilor menționată în anexa IV.

Articolul 13

Exportul și portabilitatea datelor

În cazul în care acest lucru este fezabil din punct de vedere tehnic și cu excepția cazului activelor critice, unitățile de portofel permit exportul și portabilitatea securizate ale datelor cu caracter personal ale utilizatorilor portofelelor, pentru a le permite utilizatorilor portofelelor să migreze către unitatea de portofel a unei alte soluții pentru portofel într-un mod care să asigure un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502.

Articolul 14

Pseudonime

(1) Unitățile de portofel permit generarea de pseudonime pentru utilizatorii portofelelor în conformitate cu specificațiile tehnice din anexa V.

(2) Unitățile de portofel permit generarea, la cererea unui beneficiar al portofelului, a unui pseudonim care este specific și unic beneficiarului respectiv și furnizează acest pseudonim beneficiarului portofelului, fie ca atare, fie în combinație cu orice date de identificare personală sau atestate electronice ale atributelor solicitate de respectivul beneficiar al portofelului.

CAPITOLUL IV

DISPOZIȚII FINALE

Articolul 15

Intrare în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 28 noiembrie 2024.

Pentru Comisie

Președinta

Ursula VON DER LEYEN

(1) JO L 257, 28.8.2014, p. 73, ELI: https://eur-lex.europa.eu/eli/reg/2014/910/oj.

(2) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(4) Regulamentul de punere în aplicare (UE) 2024/2982 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește protocoalele și interfețele care vor fi suportate de cadrul pentru identitatea digitală europeană (JO L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).

(5) Regulamentul de punere în aplicare (UE) 2024/2979 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește integritatea și funcționalitățile de bază ale portofelelor europene pentru identitatea digitală (JO L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

(6) Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește datele de identificare personală și atestatele electronice ale atributelor emise portofelelor europene pentru identitatea digitală (JO L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(7) Regulamentul de punere în aplicare (UE) 2024/2980 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește notificările transmise Comisiei referitoare la ecosistemul portofelelor europene pentru identitatea digitală (JO L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).

(8) JO L 210, 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/dir/2021/946/oj.

(9) Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce privește instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(10) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(11) Regulamentul de punere în aplicare (UE) 2015/1502 al Comisiei din 8 septembrie 2015 de stabilire a unor specificații și proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă (JO L 235, 9.9.2015, p. 7, ELI: http://data.europa.eu/eli/dir/2015/1502/oj).