European flag

Jurnalul Ofícial
al Uniunii Europene

RO

Seria L

2025/846

7.5.2025

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2025/846 AL COMISIEI

din 6 mai 2025

de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește corelarea transfrontalieră a identității persoanelor fizice

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (1), în special articolul 11 a alineatul (3),

întrucât:

(1)

Regulamentul (UE) nr. 910/2014 prevede că portofelele europene pentru identitatea digitală („portofelele”) și mijloacele de identificare electronică notificate trebuie să fie disponibile ca opțiune de autentificare pentru a obține acces la serviciile publice transfrontaliere online furnizate de statele membre. În astfel de cazuri de autentificare transfrontalieră, uneori beneficiarul dispune deja de înregistrări care conțin informații referitoare la utilizatorul portofelului sau la utilizatorul mijloacelor de identificare electronică notificate, prin intermediul propriului registru al beneficiarului sau al unui registru extern și, adesea, sub forma unui cont de utilizator. În astfel de cazuri, anumite informații referitoare la utilizator, obținute din portofele sau din mijloacele de identificare electronică notificate, pot fi corelate de către beneficiarul respectiv sau în numele acestuia. De exemplu, acest lucru ar putea fi realizat prin utilizarea unei soluții centralizate gestionate de un organism din sectorul public, în raport cu informațiile deținute deja de beneficiarul respectiv sau înregistrate deja într-un registru utilizat de beneficiar, cu titlu indicativ un registru de evidență a populației sau o bază de date care cuprinde informații privind contul de utilizator.

(2)

Comisia evaluează periodic noile tehnologii, practici, standarde și specificații tehnice. Pentru a asigura cel mai înalt nivel de armonizare între statele membre în ceea ce privește dezvoltarea și certificarea portofelelor, specificațiile tehnice prevăzute în prezentul regulament se întemeiază pe activitatea desfășurată în temeiul Recomandării (UE) 2021/946 a Comisiei (2), în special pe arhitectura și cadrul de referință care face parte din aceasta. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului (3), Comisia ar trebui să revizuiască și, dacă este necesar, să actualizeze prezentul regulament, pentru a îl menține aliniat la evoluțiile mondiale și la arhitectura și cadrul de referință, precum și pentru a respecta cele mai bune practici de pe piața internă.

(3)

Pentru a se asigura că procesul de corelare a identității funcționează în mod fiabil în toate statele membre, statele membre care acționează în calitate de beneficiari ar trebui să efectueze corelarea inițială a identității atunci când o persoană fizică solicită mai întâi să i se acorde accesul la un serviciu operat de beneficiar, fie pe baza setului minim de date, astfel cum este prevăzut în Regulamentul de punere în aplicare (UE) 2015/1501 al Comisiei (4), fie pe baza setului de date de identificare personală prevăzut în Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei (5). Deși prezentul regulament se axează pe statele membre care acționează în calitate de beneficiari, Regulamentul (UE) nr. 910/2014 lasă la latitudinea statelor membre să decidă dacă sistemul de corelare a identității este pus și la dispoziția beneficiarilor privați. În cazul în care statele membre prevăd corelarea identității pentru beneficiarii care nu sunt organisme din sectorul public, acestea ar trebui să aplice pe cât posibil mecanismele și procedurile prevăzute în prezentul regulament.

(4)

În scopul corelării transfrontaliere a identității atunci când se utilizează portofelele, informațiile utilizate pentru corelarea fără echivoc a identității ar trebui să fie identificatorii obligatorii ai datelor pentru setul de date de identificare personală prevăzut în secțiunea 1 din anexa la Regulamentul de punere în aplicare (UE) 2024/2977, împreună cu orice informații opționale care sunt necesare pentru a se asigura că setul de date de identificare personală este unic.

(5)

În scopul corelării transfrontaliere a identității atunci când se utilizează mijloace de identificare electronică notificate, informațiile utilizate pentru corelarea fără echivoc a identității ar trebui să fie atributele obligatorii ale setului minim de date pentru persoanele fizice, astfel cum este prevăzut în secțiunea 1 din anexa la Regulamentul de punere în aplicare (UE) 2015/1501. Trimiterea la atributele obligatorii ale setului minim de date pentru o persoană fizică ar trebui înțeleasă în contextul Regulamentului de punere în aplicare (UE) 2015/1501, conform căruia un atribut este o componentă a setului minim de date de identificare personală, spre deosebire de definiția atributelor prevăzută la articolul 3 alineatul (43) din Regulamentul (UE) nr. 910/2014, astfel cum a fost modificat prin Regulamentul (UE) 2024/1183.

(6)

Din cauza dependenței de informațiile preexistente utilizate de beneficiar pentru a asigura corelarea fără echivoc a identității, este posibil ca procesul de corelare a identității să nu fie realizat cu succes în toate cazurile. Pentru a le oferi beneficiarilor un grad adecvat de flexibilitate, statele membre pot institui procese complementare, care să asigure un nivel echivalent de încredere în rezultatul procesului de corelare a identității.

(7)

În cazul în care se consideră că procesul de corelare a identității a fost realizat cu succes în conformitate cu dispozițiile prezentului regulament, beneficiarul sau partea care acționează în numele acestuia sau un registru utilizat de beneficiari sau sistemul centralizat ar trebui să se asigure că utilizatorul este informat cu privire la efectuarea cu succes a înregistrării, inclusiv prin afișarea numelui sau pseudonimului utilizatorului și, după caz, printre altele, cu privire la opțiunile disponibile pentru stocarea rezultatului procesului de corelare a identității. Opțiunile respective pot include stocarea unei asocieri într-un registru gestionat de beneficiar și/sau într-un registru utilizat de beneficiar și/sau emiterea unui atestat electronic dedicat al atributelor care conține o asociere care să poată fi reutilizată în viitor și/sau utilizarea unor opțiuni alternative furnizate de beneficiar sau de partea care acționează în numele său. După caz, utilizatorul ar trebui să aibă posibilitatea de a alege între opțiuni, iar timpul de păstrare ar trebui să se afle sub controlul utilizatorului, pentru a se asigura că utilizatorii pot reutiliza în viitor procesele finalizate de corelare a identității.

(8)

Pentru a spori transparența și controlul asupra utilizării, atunci când utilizatorul nu a putut fi corelat cu succes, acestuia ar trebui să i se ofere motive clare pentru care corelarea nu a fost realizată cu succes. În plus, utilizatorul ar trebui să primească informații cu privire la eventualele etape următoare, inclusiv informațiile care au fost utilizate în procesul de corelare a identității și orice discrepanțe constatate, prin care se oferă utilizatorilor explicații și instrucțiuni clare cu privire la posibilele măsuri de remediere și procese complementare.

(9)

Pentru a pune la dispoziție mecanisme de recurs adecvate ori de câte ori se realizează o corelare a identității, beneficiarii ori părțile care acționează în numele acestora sau registrele utilizate de beneficiari ar trebui să păstreze evidențe corespunzătoare cu privire la procesul de corelare a identității, informațiile utilizate pentru efectuarea corelării și orice alte documente justificative furnizate de persoana fizică, precum și rezultatul procesului de corelare a identității. Aceste evidențe ar trebui păstrate timp de minimum 6 luni și maximum 12 luni, pentru a permite înregistrarea și prelucrarea plângerilor depuse de utilizatori. Perioada de păstrare ar putea fi prelungită dacă acest lucru este impus de dreptul Uniunii sau de dreptul intern.

(10)

Pentru a evita ca utilizatorii portofelelor să fie nevoiți să efectueze în mod repetat procesul de corelare a identității, statele membre pot solicita ca sistemele de corelare a identității să fie capabile să emită un atestat electronic al atributelor care face legătura între utilizatorul portofelului și un registru în care utilizatorul respectiv este înregistrat ca utilizator cunoscut. În mod alternativ, statele membre pot stoca o asociere ca trimitere către un registru accesibil beneficiarului sau către alte măsuri de asistență.

(11)

Pentru a se asigura că portofelele care urmează să fie furnizate, în conformitate cu cerințele articolului 5a alineatul (1) din Regulamentul (UE) nr. 910/2014, și sistemele de identificare electronică notificate care beneficiază de avantajele existenței unor sisteme operaționale de corelare a identității, trebuie stabilit un termen mai lung de aplicare a dispozițiilor relevante ale prezentului regulament. În ceea ce privește portofelele, fiecare stat membru ar trebui să furnizeze cel puțin un portofel în termen de 24 luni de la data intrării în vigoare a actelor de punere în aplicare menționate la articolul 5a alineatul (23) și la articolul 5c alineatul (6) din Regulamentul (UE) nr. 910/2014. Prin urmare, aplicarea dispozițiilor relevante din prezentul regulament privind corelarea identității pe baza portofelelor ar trebui să coincidă cu intervalul de timp menționat mai sus. În ceea ce privește sistemele de identificare electronică notificate, ar trebui să se acorde suficient timp pentru înlocuirea funcționalităților de corelare a identității.

(12)

Întrucât utilizarea portofelului trebuie să fie voluntară, statele membre ar trebui să le ofere utilizatorilor metode alternative, care să le permită să aibă acces la serviciile pe care le furnizează atunci când aceștia acționează în calitate de beneficiar.

(13)

Atunci când se efectuează autentificarea în scopul unui serviciu electronic, este posibil ca înregistrarea unui utilizator nou să fie transparentă și, prin urmare, să pară, pentru utilizator, din punct de vedere vizual și tehnic, o revizitare a unui serviciu electronic deja vizitat în trecut. Din acest motiv, înregistrarea unui nou utilizator pentru un serviciu electronic ar trebui, în sensul prezentului regulament, să fie considerată echivalentă cu un proces de corelare a identității efectuat cu succes.

(14)

Statele membre ar trebui să se asigure că procesul de corelare a identității funcționează în mod transparent și că utilizatorul nu se confruntă cu mai multe schimbări de sesiune și etape repetitive, chiar dacă procesul de corelare a identității a eșuat inițial și se efectuează procese complementare.

(15)

Statele membre au libertatea de a-și concepe interfețele pentru utilizatori și notificările într-un mod care să corespundă contextului lor național, ținând seama de spiritul cerințelor cuprinse în prezentul regulament.

(16)

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (6) și, după caz, Directiva 2002/58/CE a Parlamentului European și a Consiliului (7) se aplică activităților de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.

(17)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (8) și a emis un aviz la 31 ianuarie 2025.

(18)

Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Obiect

Prezentul regulament stabilește norme pentru corelarea transfrontalieră a identității de către organismele din sectorul public sau organismele care acționează în numele unui organism din sectorul public, care trebuie actualizate periodic pentru a le menține aliniate la evoluțiile tehnologice și ale standardelor și la activitatea desfășurată pe baza Recomandării (UE) 2021/946, în special la arhitectura și cadrul de referință.

Articolul 2

Cerințe generale

(1)   În cazul în care un organism din sectorul public acționează în calitate de beneficiar în contextul unui serviciu transfrontalier online oferit de respectivul organism din sectorul public sau în numele acestuia, statele membre se asigură că se utilizează procesul prevăzut la alineatul (2) pentru a asigura corelarea fără echivoc a identității persoanelor fizice.

(2)   Corelarea fără echivoc a identității este efectuată de către un beneficiar sau în numele acestuia sau de către un registru utilizat de beneficiari sau de către un sistem centralizat prin solicitarea, dacă este cazul, primirea și validarea autenticității informațiilor menționate la alineatele (3) sau (4).

(3)   Atunci când se recurge la un portofel, informațiile care trebuie utilizate pentru corelarea fără echivoc a identității sunt cele din setul de date de identificare personală obligatorii prevăzut în secțiunea 1 din anexa la Regulamentul de punere în aplicare (UE) 2024/2977, împreună cu orice informații opționale necesare pentru a se asigura că setul de date prezentat este unic, inclusiv, dacă este cazul, informații suplimentare cu privire la procedurile complementare.

(4)   Atunci când se recurge la un sistem de identificare electronică notificat, informațiile care trebuie utilizate pentru corelarea fără echivoc a identității sunt atributele obligatorii ale setului minim de date pentru persoanele fizice prevăzut în secțiunea 1 din anexa la Regulamentul de punere în aplicare (UE) 2015/1501, inclusiv, dacă este cazul, orice informații suplimentare cu privire la procedurile complementare.

(5)   Atunci când stabilește dacă există o corelare fără echivoc a identității, beneficiarul sau partea care acționează în numele său corelează informațiile furnizate de utilizator cu cele înregistrate deja de beneficiar, de o parte care acționează în numele său sau de un registru utilizat de beneficiari.

(6)   Rezultatul procesului descris la alineatul (5) nu este, în măsura posibilului, afectat de diferențele în ceea ce privește transliterarea, spațiile libere, despărțirea în silabe, juxtapunerea și variațiile ortografice similare care sunt necesare în temeiul dreptului Uniunii sau al dreptului intern al statului membru în cauză.

(7)   În cazul în care corelarea este exactă pentru informațiile menționate la alineatul (2) și se referă la o singură persoană fizică sau în care rezultatul procesului conduce la o nouă înregistrare a utilizatorului care este echivalentă, funcțional, cu un proces reușit de corelare a identității, se consideră că procesul de corelare a identității a fost efectuat cu succes, având ca rezultat o corelare fără echivoc a identității. În cazul în care corelarea nu este exactă sau se referă la mai multe persoane fizice sau în cazul în care partea care efectuează corelarea identității nu poate garanta că respectiva corelare este fără echivoc, se consideră că procesul de corelare a identității a eșuat.

(8)   Statele membre pot recurge la sisteme centralizate de corelare a identității, gestionate de un organism din sectorul public stabilit în statul membru respectiv, pentru a se asigura că mijloacele de identificare electronică notificate sau portofelele dintr-un alt stat membru pot fi corelate cu înregistrările și registrele existente prin utilizarea unor proceduri online.

(9)   În cazul în care statele membre permit beneficiarilor portofelelor care nu sunt organisme din sectorul public să efectueze corelarea identității, se aplică, după caz, mecanismele și procedurile prevăzute în prezentul regulament.

Articolul 3

Obligațiile beneficiarilor în cazul în care procesul de corelare a identităților a fost efectuat cu succes

(1)   Atunci când un utilizator efectuează pentru prima dată procesul de corelare a identității și se consideră că acesta a fost realizat cu succes în conformitate cu articolul 2 alineatul (7), beneficiarul sau partea care acționează în numele acestuia sau un registru utilizat de beneficiari sau sistemul centralizat se asigură că utilizatorul are acces la serviciul la care a solicitat să aibă acces.

(2)   Dacă este cazul, utilizatorul este, de asemenea, informat că:

(a)

a fost înregistrat ca utilizator nou;

(b)

a fost corelat cu succes cu un singur utilizator existent al beneficiarului sau

(c)

a fost corelat cu succes cu un singur utilizator existent într-un registru utilizat de beneficiar sau de partea care acționează în numele acestuia;

(d)

poate reutiliza în viitor procesele finalizate de corelare a identității, alegând una dintre următoarele opțiuni, inclusiv timpul de retenție aferent:

stocarea, într-un registru gestionat de beneficiar sau într-un registru utilizat de beneficiar, a unei asocieri care poate fi reutilizată în viitoarele cereri de acces;

eliberarea unui atestat electronic specific al atributelor care conține o asociere care poate fi reutilizată în viitoarele cereri de acces;

opțiuni alternative oferite de beneficiar, de partea care acționează în numele beneficiarului sau de sistemul centralizat care să poată fi reutilizate în viitoarele cereri de acces.

Articolul 4

Obligațiile beneficiarilor în cazul în care procesul de corelare a identității nu a fost efectuat cu succes

(1)   În cazul în care se consideră că un proces de corelare nu a fost efectuat cu succes în conformitate cu articolul 2 alineatul (7), beneficiarul sau partea care acționează în numele său sau sistemul centralizat se asigură că utilizatorul mijloacelor de identificare electronică notificate sau al unui portofel este informat dacă:

(a)

datele puse la dispoziție nu au fost corelate cu succes și fără echivoc cu un utilizator existent dintr-un registru al beneficiarului sau dintr-un registru utilizat de beneficiar sau de partea care acționează în numele acestuia;

(b)

sunt disponibile alte opțiuni de corelare a identității sau alte metode de obținere a accesului la serviciul în cauză.

(2)   Opțiunile sau metodele menționate la alineatul (1) litera (b) pot include:

(a)

un alt mijloc de identificare electronică notificat sau un alt portofel;

(b)

o actualizare a informațiilor deja înregistrate de beneficiar, de partea care acționează în numele său sau de un registru utilizat de beneficiar sau de sistemul centralizat de corelare a identității;

(c)

informații suplimentare furnizate de beneficiar sau de o parte care acționează în numele său în scopul corelării identității sau de sistemul centralizat.

(3)   În cazul în care metodele complementare au ca rezultat efectuarea cu succes și fără echivoc a unei corelări sau înregistrări, rezultatul respectă obligațiile prevăzute la articolul 3.

(4)   În cazul în care beneficiarul sau sistemul centralizat stabilește, fie inițial, fie după efectuarea fără succes a proceselor complementare de corelare a identității, că utilizatorul nu fusese înregistrat anterior, beneficiarul sau sistemul centralizat îl poate considera un utilizator nou și, după caz, îl poate înregistra în conformitate cu dreptul intern sau cu practicile administrative relevante.

(5)   În cazul în care metodele complementare nu conduc la efectuarea cu succes și fără echivoc a unei corelări, partea care efectuează corelarea identității poate stabili dacă utilizatorul nu a avut nicio interacțiune anterioară cu beneficiarul sau cu un registru utilizat de beneficiar, caz în care trebuie considerat drept utilizator nou.

(6)   În cazul în care este vorba de un utilizator nou, beneficiarii aplică procedura prevăzută la articolul 3. Aceștia pot înregistra utilizatorii noi în conformitate cu dreptul intern sau cu practicile administrative naționale.

Articolul 5

Obligațiile beneficiarilor în urma finalizării procesului de corelare a identității

(1)   În cazul în care procesul de corelare a identității prevăzut la articolul 2 a fost finalizat, cu sau fără succes, beneficiarul sau partea care acționează în numele său sau registrul utilizat de beneficiar păstrează evidențele referitoare la procesul de corelare a identității și la rezultatul acestuia, inclusiv, dacă sunt disponibile:

(a)

valorile furnizate de utilizator și de beneficiar care sunt utilizate pentru a efectua procesul de corelare a identității;

(b)

data și ora procesului de corelare a identității;

(c)

orice documentație relevantă furnizată ca parte a metodelor complementare menționate la articolul 4 alineatul (1) și alineatul (2), necesară pentru soluționarea litigiilor;

(d)

după caz, orice identificatori sau numere de cont utilizate de beneficiar, de un registru utilizat de beneficiari, de partea care acționează în numele acestora sau de sistemul centralizat de corelare a identității care se referă la persoana fizică.

(2)   Beneficiarii sau părțile care acționează în numele acestora iau în considerare integrarea, încă din stadiul de proiectare, a principiilor securității și protecției vieții private în procesul de păstrare a evidențelor menționat la alineatul (1).

(3)   Beneficiarii sau părțile care acționează în numele acestora păstrează evidențele timp de minimum 6 luni și maximum 12 luni în scopuri de securitate. Pentru alte scopuri, inclusiv pentru a permite înregistrarea și prelucrarea plângerilor utilizatorilor, timpul de păstrare poate fi prelungit dacă dreptul Uniunii sau dreptul intern impune acest lucru.

Articolul 6

Intrare în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică de la 24 decembrie 2026.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 6 mai 2025.

Pentru Comisie

Președinta

Ursula VON DER LEYEN

(1)   JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Recomandarea (UE) 2021/946 a Comisiei din 3 iunie 2021 privind un set de instrumente comun al Uniunii pentru o abordare coordonată în direcția unui cadru european al identității digitale (JO L 210, 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).

(3)  Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce privește instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4)  Regulamentul de punere în aplicare (UE) 2015/1501 al Comisiei din 8 septembrie 2015 privind cadrul de interoperabilitate prevăzut la articolul 12 alineatul (8) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă (JO L 235, 9.9.2015, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).

(5)  Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește datele de identificare personală și atestatele electronice ale atributelor emise portofelelor europene pentru identitatea digitală (JO L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(6)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(7)  Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(8)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ELI: http://data.europa.eu/eli/reg_impl/2025/846/oj

ISSN 1977-0782 (electronic edition)