EXPOSIÇÃO DE MOTIVOS

1.           CONTEXTO DA PROPOSTA

O presente memorando explica uma proposta de quadro legal destinado a reforçar a confiança nas transações eletrónicas no mercado interno.

Criar confiança no ambiente em linha é fundamental para o desenvolvimento económico. A falta de confiança leva os consumidores, as empresas e as administrações a hesitarem em realizar transações por via eletrónica e em adotar novos serviços.

A Agenda Digital para a Europa[1] identifica os obstáculos existentes ao desenvolvimento digital da Europa e propõe legislação sobre assinaturas eletrónicas (Ação‑chave 3) e sobre o reconhecimento mútuo da identificação e da autenticação eletrónicas (Ação-chave 16), tendo em vista o estabelecimento de um quadro legal claro que acabe com a fragmentação e a falta de interoperabilidade, melhore a cidadania digital e previna a cibercriminalidade. A adoção de legislação que garanta o reconhecimento mútuo da identificação e da autenticação eletrónicas em toda a UE e a revisão da Diretiva relativa às assinaturas eletrónicas constituem igualmente ações fundamentais do Ato do Mercado Único[2], para a realização do mercado único digital. O Roteiro para a Estabilidade e o Crescimento[3] sublinha o papel fundamental que o futuro quadro legal comum relativo ao reconhecimento e à aceitação mútuos da identificação e da autenticação eletrónicas através das fronteiras terá no desenvolvimento da economia digital.

O quadro legal proposto, que consiste num «Regulamento do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno», visa possibilitar as interações eletrónicas seguras e sem descontinuidades entre as empresas, os cidadãos e as autoridades públicas, aumentando assim a eficácia dos serviços em linha públicos e privados, dos negócios eletrónicos e do comércio eletrónico na UE.

A legislação da UE em vigor sobre a matéria, nomeadamente a Diretiva 1999/93/CE relativa a um quadro comunitário para as assinaturas eletrónicas[4], contempla essencialmente as assinaturas eletrónicas. A UE não dispõe de qualquer quadro geral transnacional e transetorial para transações eletrónicas seguras, fiáveis e simples que englobe a identificação, a autenticação e as assinaturas eletrónicas.

O objetivo é melhorar a legislação existente e torná-la extensível ao reconhecimento e à aceitação mútuos, a nível da UE, dos sistemas de identificação eletrónica notificados e de outros serviços de confiança eletrónicos conexos essenciais.

2.           RESULTADOS DAS CONSULTAS ÀS PARTES INTERESSADAS E AVALIAÇÕES DE IMPACTO

Esta iniciativa é o resultado de extensas consultas sobre a revisão do atual quadro legal das assinaturas eletrónicas durante as quais a Comissão recolheu os pontos de vista dos Estados-Membros, do Parlamento Europeu e de outras partes interessadas[5]. Uma consulta pública em linha foi complementada por um «Painel de consulta das PME» para identificar os pontos de vista e as necessidades específicos das pequenas e médias empresas e por outras consultas com objetivos específicos a certas partes interessadas[6][7]. A Comissão encomendou igualmente alguns estudos sobre a identificação, a autenticação e a assinatura eletrónicas e os serviços de confiança conexos (sigla inglesa «eIAS») .

As consultas mostraram claramente que a grande maioria das partes interessadas reconhece a necessidade de rever o atual quadro para corrigir as lacunas deixadas pela diretiva relativa às assinaturas eletrónicas. Entenderam os consultados que essa seria a melhor maneira de responder aos desafios colocados pelo rápido desenvolvimento de novas tecnologias (em particular as que permitem o acesso em linha e móvel) e pela crescente globalização, embora mantendo a neutralidade tecnológica do quadro legal.

Em conformidade com a sua política que tem como lema «Legislar melhor», a Comissão procedeu à avaliação do impacto das diferentes alternativas de ação. Foram avaliados três conjuntos de opções, referentes respetivamente a: 1) o âmbito do novo quadro, 2) o instrumento jurídico e 3) o nível de supervisão necessário[8]. A opção preferida provou ser a que se propunha reforçar a segurança jurídica, promover a coordenação da supervisão nacional, assegurar o reconhecimento e a aceitação mútuos dos sistemas de identificação eletrónica e incorporar os serviços de confiança conexos essenciais. A avaliação de impacto concluiu que esta opção permitiria melhorar consideravelmente a segurança jurídica, a proteção e a confiança das transações eletrónicas entre os Estados-Membros, resultando numa menor fragmentação do mercado.

3.           ELEMENTOS JURÍDICOS DA PROPOSTA

3.1 Base legal

A proposta baseia-se no artigo 114.º do TFUE, que diz respeito à adoção de regras para eliminar os obstáculos existentes ao funcionamento do mercado interno. Os cidadãos, as empresas e as administrações poderão beneficiar do reconhecimento e da aceitação mútuos da identificação, da autenticação e das assinaturas eletrónicas e de outros serviços de confiança através das fronteiras, quando necessário para aceder a - e concluir - procedimentos ou transações eletrónicos.

Um regulamento é considerado o instrumento jurídico mais adequado. Devido à sua aplicabilidade direta, em conformidade com o artigo 288.º do TFUE, um regulamento, ao instaurar um conjunto harmonizado de regras essenciais que contribuem para o funcionamento do mercado interno, reduzirá a fragmentação do quadro legal e fornecerá maior segurança jurídica.

3.2 Subsidiariedade e proporcionalidade

Para que uma ação da UE se justifique, deve ser respeitado o princípio da subsidiariedade:

a) Dimensão transnacional do problema (critério da necessidade)

A natureza transnacional dos eIAS exige uma ação a nível da UE. Uma ação a nível nacional por si só não seria suficiente para atingir os objetivos e metas fixados na estratégia Europa 2020[9]. Pelo contrário, a experiência mostra que as medidas nacionais criaram de facto barreiras à interoperabilidade das assinaturas eletrónicas ao nível da UE e produzem atualmente o mesmo efeito na identificação e na autenticação eletrónicas e nos serviços de confiança conexos. Torna-se, assim, necessário que a UE crie um quadro que facilite a interoperabilidade transfronteiras e melhore a coordenação dos sistemas nacionais de supervisão. No entanto, a identificação eletrónica não pode ser abordada no regulamento proposto da mesma forma genérica que os outros serviços eletrónicos de confiança, dado que a produção de meios de identificação é uma prerrogativa nacional. A proposta centra-se, pois, estritamente nos aspetos transfronteiras da identificação eletrónica.

O regulamento proposto cria condições de igualdade para as empresas que prestam serviços de confiança, ao passo que as diferenças existentes atualmente nas legislações nacionais criam muitas vezes incerteza jurídica e ónus adicionais. A segurança jurídica é significativamente reforçada através da obrigação clara, para os Estados-Membros, de aceitarem os serviços de confiança qualificados, o que criará mais incentivos para que as empresas estendam a suas atividades a outros países. Por exemplo, uma empresa poderá participar por via eletrónica num concurso público lançado pela administração de outro Estado-Membro sem que a sua assinatura eletrónica fique bloqueada devido a requisitos nacionais específicos e problemas de interoperabilidade. Assim também, uma empresa terá a possibilidade de assinar contratos por via eletrónica com uma congénere estabelecida noutro Estado-Membro sem recear a imposição de requisitos legais diferentes para os serviços confiança como os selos eletrónicos, os documentos eletrónicos ou o carimbo eletrónico da hora. Um outro caso: um aviso de incumprimento será enviado de um Estado-Membro para outro com a certeza de que é legalmente válido em ambos os Estados-Membros. Por último, o comércio em linha será mais fiável quando os compradores tiverem meios para verificar que estão realmente a aceder ao sítio Web do comerciante da sua escolha em vez de um sítio Web eventualmente falso.

A existência de meios de identificação eletrónica mutuamente reconhecidos e assinaturas eletrónicas generalizadamente aceites facilitará a oferta transfronteiras de numerosos serviços no mercado interno e permitirá que as empresas desenvolvam as suas atividades fora de portas sem encontrarem obstáculos nas interações com as autoridades públicas. Na prática, estaremos perante melhorias significativas de eficiência tanto para as empresas como para os cidadãos no cumprimento de formalidades administrativas. Por exemplo, um estudante terá a possibilidade de se inscrever por via eletrónica numa universidade estrangeira, um cidadão de apresentar a sua declaração fiscal em linha a outros Estados-Membros ou um doente de aceder aos seus dados de saúde em linha. Na inexistência de tais meios de identificação eletrónica mutuamente reconhecidos, um médico não poderá aceder aos dados de um doente para poder tratá-lo e os exames médicos e laboratoriais a que o paciente já foi submetido terão de ser repetidos.

b) Valor acrescentado (critério da eficácia)

A coordenação voluntária entre os Estados-Membros não está a permitir atingir os objetivos acima expostos, nem é muito provável que tal aconteça no futuro. Daí resulta uma duplicação de esforços, o estabelecimento de normas diferentes, características transfronteiras diferentes dos produtos gerados pelas TIC e complexidade administrativa no estabelecimento de tal coordenação por via de acordos bilaterais e multilaterais.

Além disso, a necessidade de ultrapassar problemas como a) a falta de segurança jurídica, devido à heterogeneidade das disposições nacionais decorrente de interpretações divergentes da Diretiva relativa às assinaturas eletrónicas e b) a falta de interoperabilidade dos sistemas de assinatura eletrónica instituídos a nível nacional, devido à aplicação não uniforme das normas técnicas, exige um tipo de coordenação entre os Estados-Membros que pode ser mais eficazmente assegurado ao nível da UE.

3.3 Explicação pormenorizada da proposta

3.3.1      CAPÍTULO I – DISPOSIÇÕES GERAIS

O artigo 1.º define o objeto do regulamento.

O artigo 2.º define o âmbito de aplicação material do regulamento.

O artigo 3.º contém as definições dos termos utilizados no regulamento. Algumas definições são retiradas da Diretiva 1999/93/CE, outras são clarificadas, complementadas com elementos adicionais ou totalmente novas.

O artigo 4.º define os princípios do mercado interno no que respeita à aplicação territorial do regulamento. É mencionada expressamente a não imposição de restrições à liberdade de prestação de serviços e à livre circulação de produtos.

3.3.2      CAPÍTULO II – IDENTIFICAÇÃO ELETRÓNICA

O artigo 5.º prevê o reconhecimento e a aceitação mútuos dos meios de identificação eletrónica que se enquadrem num sistema notificado à Comissão nas condições estabelecidas no regulamento. A maior parte dos Estados-Membros adotou algum tipo de sistema de identificação eletrónica. No entanto, os diversos sistemas diferem em muitos aspetos. A inexistência de uma base legal comum que exija a cada Estado-Membro que reconheça e aceite os meios de identificação eletrónica produzidos noutros Estados-Membros para aceder aos serviços em linha, a par da interoperabilidade transfronteiras inadequada dos sistemas de identificação eletrónica nacionais, cria barreiras que impedem os cidadãos e as empresas de beneficiar plenamente do mercado único digital. O reconhecimento e a aceitação mútuos de qualquer meio de identificação eletrónica que se enquadre num sistema notificado nos termos do presente regulamento elimina essas barreiras legais.

O regulamento não obriga os Estados-Membros a adotarem ou a notificarem os sistemas de identificação eletrónica, mas sim a reconhecerem e aceitarem as identificações eletrónicas notificadas para os serviços em linha cujo acesso a nível nacional exige uma identificação eletrónica. O potencial aumento das economias de escala criadas com a utilização transfronteiras dos meios de identificação eletrónica e sistemas de autenticação notificados pode estimular os Estados-Membros a notificarem os seus próprios sistemas de identificação eletrónica. O artigo 6.º estabelece as cinco condições para a notificação dos sistemas de identificação eletrónica:

Os Estados-Membros podem notificar os sistemas de identificação eletrónica que aceitam sob a sua jurisdição nos casos em que é exigida uma identificação eletrónica para aceder a serviços públicos. Outra condição é que o respetivo meio de identificação eletrónica seja produzido pelo Estado-Membro que notifica o sistema, por alguém em seu nome ou pelo menos sob a sua responsabilidade.

Os Estados-Membros devem garantir uma ligação inequívoca entre os dados da identificação eletrónica e a pessoa em causa. Esta obrigação não significa que uma pessoa não possa ter vários meios de identificação eletrónica, mas que todos eles devem estar associados à mesma pessoa.

A fiabilidade de uma identificação eletrónica depende da disponibilidade de meios de autenticação (ou seja, da possibilidade de verificar a validade dos dados da identificação eletrónica). O regulamento obriga os Estados-Membros notificantes a fornecerem a autenticação em linha gratuitamente a terceiros. A possibilidade de autenticação deve estar disponível sem interrupções. Não podem ser impostos requisitos técnicos específicos, nomeadamente em matéria de hardware ou software, às partes que recorram à autenticação. Esta disposição não se aplica aos requisitos impostos aos utilizadores (detentores) do meio de identificação eletrónica que sejam tecnicamente necessários para a utilização desse meio, como, por exemplo, um leitor de cartões.

Os Estados-Membros devem aceitar a responsabilidade pelo caráter inequívoco da ligação (ou seja, que os dados de identificação associados a uma pessoa não estejam associados a qualquer outra) e pela possibilidade de autenticação (ou seja, a possibilidade de verificar a validade dos dados da identificação eletrónica). A responsabilidade dos Estados-Membros não cobre nenhum outro aspeto do processo de identificação nem nenhuma transação que exija uma identificação.

O artigo 7.º contém regras para a notificação dos sistemas de identificação eletrónica à Comissão.

O artigo 8.º visa garantir a interoperabilidade técnica dos sistemas de identificação notificados, através de uma abordagem de coordenação, que prevê a adoção de atos delegados.

3.3.3      CAPÍTULO III – SERVIÇOS DE CONFIANÇA

3.3.3.1 Secção 1 – Disposições gerais

O artigo 9.º estabelece os princípios relativos à responsabilidade dos prestadores de serviços de confiança qualificados e não qualificados. Tendo por base o artigo 6.º da Diretiva 1999/93/CE, o artigo estende o direito a indemnização por danos aos danos causados por um prestador de serviços de confiança negligente que não tenha respeitado as boas práticas em matéria de segurança, de que resulte uma violação da segurança com impacto significativo no serviço.

O artigo 10.º descreve o mecanismo de reconhecimento e aceitação dos serviços de confiança qualificados fornecidos por um prestador estabelecido num país terceiro. A sua base é o artigo 7.º da Diretiva 1999/93/CE, mas apenas retém a única opção exequível na prática, que consiste em permitir o reconhecimento em virtude de um acordo internacional entre a União Europeia e países terceiros ou organizações internacionais.

O artigo 11.º estabelece os princípios da proteção e da limitação dos dados utilizados. A sua base é o artigo 8.º da Diretiva 1999/93/CE.

O artigo 12.º torna os serviços de confiança acessíveis às pessoas deficientes.

3.3.3.2 Secção 2 – Supervisão

O artigo 13.º obriga os Estados-Membros a instituírem entidades supervisoras, com base no artigo 3.º, n.º 3, da Diretiva 1999/93/CE, clarificando e alargando o seu mandato no que respeita aos prestadores de serviços de confiança e aos prestadores de serviços de confiança qualificados.

O artigo 14.º introduz um mecanismo específico de assistência mútua entre as entidades supervisoras dos Estados-Membros a fim de facilitar o controlo transfronteiras dos prestadores de serviços de confiança. Introduz regras para as operações conjuntas e consagra o direito das entidades supervisoras a participarem nessas operações.

O artigo 15.º instaura a obrigatoriedade, para os prestadores de serviços de confiança qualificados e não qualificados, da aplicação das medidas técnicas e organizacionais adequadas para garantirem a segurança das suas atividades. Além disso, as entidades supervisoras competentes e outras autoridades pertinentes devem ser informadas de todas as violações da segurança que ocorram. Se for caso disso, essas entidades informarão por sua vez as suas congéneres dos outros Estados-Membros e, diretamente ou através do prestador de serviços de confiança em causa, o público.

O artigo 16.º estabelece as condições para a supervisão dos prestadores de serviços de confiança qualificados e dos serviços de confiança qualificados por eles prestados. Obriga os prestadores de serviços de confiança qualificados a submeterem-se uma vez por ano a uma auditoria efetuada por um organismo independente reconhecido, para confirmar à entidade supervisora que cumprem as obrigações estabelecidas no regulamento. Além disso, o artigo 16.º, n.º 2, concede à entidade supervisora o direito de efetuar auditorias no local e em qualquer altura aos prestadores de serviços de confiança qualificados. É também atribuído à entidade supervisora o poder de emitir instruções vinculativas para os prestadores de serviços de confiança qualificados para que corrijam, de um modo proporcionado, qualquer eventual incumprimento de uma obrigação revelado por uma auditoria da segurança.

O artigo 17.º diz respeito à atividade desenvolvida pela entidade supervisora a pedido de um prestador de serviços de confiança que deseje começar a prestar um serviço de confiança qualificado.

O artigo 18.º prevê o estabelecimento de listas de confiança[10] contendo informações sobre os prestadores de serviços de confiança qualificados que estão sujeitos a supervisão e sobre os serviços que oferecem. Estas informações devem ser tornadas públicas através de um modelo comum, a fim de facilitar a sua utilização automática e garantir um nível adequado de pormenor.

O artigo 19.º estabelece os requisitos a cumprir pelos prestadores de serviços de confiança qualificados para serem reconhecidos como tal. A sua base é o anexo II da Diretiva 1999/93/CE.

3.3.3.3 Secção 3 – Assinatura eletrónica

O artigo 20.º consagra as regras relativas ao efeito legal das assinaturas eletrónicas das pessoas singulares. Clarifica e desenvolve o artigo 5.º da Diretiva 1999/93/CE instaurando a obrigação expressa de conferir às assinaturas eletrónicas qualificadas o mesmo efeito legal que as assinaturas manuscritas. Além disso, os Estados-Membros devem garantir a aceitação transfronteiras das assinaturas eletrónicas qualificadas, no contexto da oferta de serviços públicos, e não devem introduzir quaisquer requisitos adicionais que possam criar obstáculos à utilização dessas assinaturas.

O artigo 21.º estabelece os requisitos para os certificados de assinatura qualificados. Clarifica o anexo I da Diretiva 1999/93/CE e elimina as disposições que não funcionaram na prática (por exemplo, os limites ao valor das transações).

O artigo 22.º estabelece os requisitos para os dispositivos de criação de assinaturas eletrónicas qualificados. Clarifica os requisitos para os dispositivos seguros de criação de assinaturas, definidos no artigo 3.º, n.º 5, da Diretiva 1999/93/CE, que, por força do presente regulamento, têm agora de ser considerados dispositivos de criação de assinaturas qualificados. Torna também claro que o âmbito de um dispositivo de criação de assinaturas pode ser muito mais vasto do que apenas algo que contém dados para a criação de uma assinatura. A Comissão pode também estabelecer uma lista com os números de referência das normas dos requisitos de segurança para os dispositivos.

O artigo 23.º, que se baseia no artigo 3.º, n.º 4, da Diretiva 1999/93/CE, introduz o conceito de certificação dos dispositivos de criação de assinatura eletrónica qualificados para determinar a sua conformidade com os requisitos de segurança estabelecidos no anexo II. Estes dispositivos devem ser reconhecidos por todos os Estados-Membros como conformes com os requisitos sempre que um procedimento de certificação seja realizado por um organismo de certificação designado por um Estado-Membro. A Comissão publicará uma lista positiva desses dispositivos certificados, em conformidade com o artigo 24.º. A Comissão pode igualmente estabelecer uma lista com os números de referência das normas para a avaliação da segurança dos produtos informáticos referenciados no artigo 23.º, n.º 1.

O artigo 24.º diz respeito à publicação, pela Comissão, de uma lista de dispositivos de criação de assinatura eletrónica qualificados após notificação da sua conformidade pelos Estados-Membros.

O artigo 25.º baseia-se nas recomendações do anexo IV da Diretiva 1999/93/CE no sentido de se estabelecerem requisitos obrigatórios para a validação das assinaturas eletrónicas qualificadas, tendo em vista aumentar a segurança jurídica dessa validação.

O artigo 26.º estabelece as condições para os serviços de validação qualificados.

O artigo 27.º estabelece as condições para a preservação a longo prazo das assinaturas eletrónicas qualificadas. Tal é possível graças à utilização de procedimentos e tecnologias capazes de prolongar a fiabilidade dos dados de validação das assinaturas eletrónicas qualificadas para além do prazo da sua validade tecnológica, quando se pode tornar mais fácil para os piratas informáticos a sua falsificação.

3.3.3.4 Secção 4 – Selos eletrónicos

O artigo 28.º diz respeito ao efeito legal dos selos eletrónicos das pessoas coletivas. É conferida uma presunção legal específica a um selo eletrónico qualificado que garanta a origem e a integridade dos documentos eletrónicos aos quais está associado.

O artigo 29.º estabelece os requisitos aplicáveis aos certificados qualificados de selos eletrónicos.

O artigo 30.º estabelece os requisitos para a lista dos dispositivos de criação de selos eletrónicos qualificados e para a certificação e a publicação da mesma.

O artigo 31.º estabelece as condições para a validação e preservação dos selos eletrónicos qualificados.

3.3.3.5 Secção 5 – Carimbo eletrónico da hora

O artigo 33.º diz respeito ao efeito legal dos carimbos eletrónicos da hora. É conferida uma presunção legal específica aos carimbos eletrónicos da hora qualificados no que respeita à exatidão da hora.

O artigo 33.º estabelece os requisitos para os carimbos eletrónicos da hora qualificados.

3.3.3.6 Secção 6 – Documentos eletrónicos

O artigo 34.º refere-se aos efeitos legais e às condições de aceitação dos documentos eletrónicos. Qualquer documento eletrónico assinado com uma assinatura eletrónica qualificada ou que ostente um selo eletrónico qualificado beneficia de uma presunção legal específica de autenticidade e integridade. No que respeita à aceitação de documentos eletrónicos, quando seja necessário um documento original ou uma cópia certificada para a prestação de um serviço público, serão aceites noutros Estados-Membros sem requisitos adicionais pelo menos os documentos eletrónicos emitidos pelas pessoas competentes para emitir os documentos pertinentes considerados originais ou cópias certificadas de acordo com a legislação nacional do Estado-Membro de origem.

3.3.3.7 Secção 7 – Serviços de entrega eletrónica

O artigo 35.º diz respeito ao efeito legal dos dados enviados ou recebidos utilizando um serviço de entrega eletrónica. Os serviços de entrega eletrónica qualificados beneficiam de uma presunção legal específica no que respeita à integridade dos dados enviados ou recebidos e à exatidão da hora em que os dados são enviados ou recebidos. O artigo garante também o reconhecimento mútuo dos serviços de entrega eletrónica qualificados a nível da UE.

O artigo 36.º estabelece os requisitos para os serviços de entrega eletrónica qualificados.

3.3.3.8 Secção 8 – Autenticação de sítios Web

Esta secção visa assegurar que a autenticidade de um sítio Web seja garantida no que respeita ao proprietário do sítio.

O artigo 37.º estabelece os requisitos para os certificados de autenticação de sítio Web qualificados, que podem servir para garantir a autenticidade de um sítio Web. Um certificado qualificado de autenticação de sítio Web fornece um conjunto mínimo de informações fiáveis sobre o sítio e sobre a existência legal do seu proprietário.

3.3.4      CAPÍTULO IV – ATOS DELEGADOS

O artigo 38.º contém as disposições-tipo aplicáveis ao exercício da delegação nos termos do artigo 290.º do TFUE (atos delegados). O artigo 290.º do TFUE permite ao legislador delegar na Comissão o poder de adotar atos não legislativos de aplicação geral que complementem ou alterem certos elementos não essenciais de um ato legislativo.

3.3.5      CAPÍTULO V – ATOS DE EXECUÇÃO

O artigo 39.º contém a disposição relativa ao procedimento de comité necessário para conferir competências de execução à Comissão nos casos em que, em conformidade com o artigo 291.º do TFUE, são necessárias condições uniformes para a execução de atos juridicamente vinculativos da União. Aplica-se o procedimento de exame.

3.3.6      CAPÍTULO VI – DISPOSIÇÕES FINAIS

O artigo 40.º impõe à Comissão a obrigação de avaliar o regulamento e de apresentar o relatório das suas conclusões.

O artigo 41.º revoga a Diretiva 1999/93/CE e consagra a transição harmoniosa da infraestrutura de assinatura eletrónica existente para os novos requisitos do regulamento.

O artigo 42.º fixa a data de entrada em vigor do regulamento.

4.           INCIDÊNCIA ORÇAMENTAL

A incidência específica da proposta no orçamento da União Europeia prende-se com as tarefas atribuídas à Comissão Europeia, detalhadas na ficha financeira legislativa que acompanha a presente proposta.

A proposta não tem incidências nas despesas operacionais.

A ficha financeira legislativa que acompanha a presente proposta de regulamento cobre as incidências orçamentais do próprio regulamento.

2012/0146 (COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.º,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu[11],

Após consulta da Autoridade Europeia para a Proteção de Dados[12],

Deliberando nos termos do processo legislativo ordinário,

Considerando o seguinte:

(1)       Criar confiança no ambiente em linha é fundamental para o desenvolvimento económico. A falta de confiança leva os consumidores, as empresas e as administrações a hesitarem em realizar transações por via eletrónica e em adotar novos serviços.

(2)       O presente regulamento pretende reforçar a confiança nas transações eletrónicas no mercado interno, permitindo que as interações eletrónicas entre as empresas, os cidadãos e as autoridades públicas se processem de um modo seguro e sem descontinuidades, aumentando assim a eficácia dos serviços públicos e privados em linha, os negócios eletrónicos e o comércio eletrónico na União.

(3)       A Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas[13] cobria essencialmente as assinaturas eletrónicas sem oferecer um quadro transnacional e transetorial geral que garantisse transações eletrónicas seguras, fiáveis e fáceis de realizar. O presente regulamento melhora e desenvolve o acervo da diretiva.

(4)       A Agenda Digital para a Europa[14], lançada da Comissão, identificou a fragmentação do mercado digital, a falta de interoperabilidade e o aumento da cibercriminalidade como os principais obstáculos ao ciclo virtuoso da economia digital. No seu Relatório de 2010 sobre Cidadania, a Comissão foi mais longe ao sublinhar a necessidade de resolver os principais problemas que impedem os cidadãos europeus de colher os benefícios do mercado único digital e dos serviços digitais transfronteiras[15].

(5)       O Conselho Europeu convidou a Comissão a criar um mercado único digital até 2015[16], para que se façam progressos rápidos em áreas fundamentais da economia digital, e a promover um mercado único digital completamente integrado[17] facilitando a utilização transfronteiras dos serviços em linha, dando particular atenção à facilitação da identificação e da autenticação eletrónicas seguras.

(6)       O Conselho convidou a Comissão a contribuir para o mercado único digital criando condições adequadas para o reconhecimento mútuo entre os países de tecnologias facilitadoras fundamentais, como a identificação eletrónica, os documentos eletrónicos, as assinaturas eletrónicas e os serviços de entrega eletrónica, e para a implantação de serviços de administração pública em linha interoperáveis em toda a União Europeia[18].

(7)       O Parlamento Europeu realçou a importância da segurança dos serviços eletrónicos - em especial, os de assinaturas eletrónicas - e da necessidade de criar uma infraestrutura de chave pública a nível pan-europeu e instou a Comissão a criar um portal para as autoridades de validação europeias, a fim de assegurar a interoperabilidade transfronteiras das assinaturas eletrónicas e aumentar a segurança das transações efetuadas através da Internet[19].

(8)       A Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno[20] exige que os Estados-Membros criem pontos de contacto únicos para garantir que todos os procedimentos e formalidades relativos ao acesso a uma atividade de prestação de serviços e ao seu exercício possam ser cumpridos facilmente, à distância e por meios eletrónicos, através do ponto de contacto único adequado e com as autoridades competentes. Muitos serviços em linha acessíveis através dos pontos de contacto únicos exigem identificação, autenticação e assinatura eletrónicas.

(9)       Na maioria dos casos, os prestadores de serviços de outro Estado-Membro não podem utilizar a sua identificação eletrónica para aceder a esses serviços, porque os sistemas nacionais de identificação eletrónica no seu país não são reconhecidos nem aceites noutros Estados-Membros. Este obstáculo de cariz eletrónico impede os prestadores de serviços de tirarem pleno partido das vantagens do mercado interno. Meios de identificação eletrónica mutuamente reconhecidos e aceites facilitarão a oferta transfronteiras de numerosos serviços no mercado interno e permitirão que as empresas desenvolvam as suas atividades fora de portas sem encontrarem muitos obstáculos nas interações com as autoridades públicas.

(10)     A Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços[21] institui uma rede de autoridades nacionais responsáveis pela saúde em linha. Para aumentar a segurança e a continuidade dos cuidados de saúde transfronteiras, essa rede deve estabelecer orientações sobre o acesso transfronteiras aos dados e serviços eletrónicos de saúde, nomeadamente apoiando «medidas comuns de identificação e autenticação destinadas a facilitar a transferibilidade dos dados no âmbito de cuidados de saúde transfronteiriços». O reconhecimento e a aceitação mútuos da identificação e da autenticação eletrónicas são fundamentais para tornar realidade a prestação de cuidados de saúde aos cidadãos europeus a nível transnacional. Quando as pessoas se deslocam a outro país para receberem tratamento, é necessário que os seus dados médicos estejam acessíveis nesse país. Para isso, é indispensável que exista um quadro sólido, seguro e de confiança para a identificação eletrónica.

(11)     Um dos objetivos do presente regulamento é eliminar os obstáculos existentes à utilização transnacional dos meios de identificação eletrónica utilizados nos Estados-Membros para aceder, pelo menos, a serviços públicos. O presente regulamento não visa intervir nos sistemas de gestão da identidade eletrónica e infraestruturas conexas estabelecidos nos Estados-Membros. O seu objetivo é garantir que, para aceder aos serviços em linha transfronteiras oferecidos pelos Estados-Membros, seja possível utilizar com segurança a identificação e a autenticação eletrónicas.

(12)     Os Estados-Membros devem continuar a ter a liberdade de utilizar ou de introduzir, para fins de identificação eletrónica, meios de acesso aos serviços em linha. Devem igualmente poder decidir envolver ou não o setor privado na oferta desses meios. Os Estados-Membros não devem ser obrigados a notificar os seus sistemas de identificação eletrónica. A decisão de notificar todos, alguns ou nenhum dos meios de identificação eletrónica abrangidos pelo sistema utilizado a nível nacional para aceder a, pelo menos, serviços públicos ou serviços específicos em linha compete aos Estados-Membros.

(13)     Há que estabelecer no regulamento algumas condições respeitantes aos meios de identificação eletrónica que têm de ser aceites e ao modo como os sistemas devem ser notificados. Essas condições deverão ajudar os Estados-Membros a criar a confiança necessária nos sistemas de identificação eletrónica uns dos outros e a reconhecer e aceitar mutuamente os meios de identificação eletrónica previstos nos seus sistemas notificados. O princípio do reconhecimento e da aceitação mútuos deverá aplicar-se se o Estado-Membro notificante satisfizer as condições de notificação e se a notificação tiver sido publicada no Jornal Oficial da União Europeia. No entanto, o acesso a esses serviços em linha e a sua entrega final ao requerente deverão estar estreitamente ligados ao direito de receber tais serviços nas condições estabelecidas pela legislação nacional.

(14)     Os Estados-Membros deverão poder decidir envolver o setor privado na produção de meios de identificação eletrónica e autorizar o setor privado a utilizar meios de identificação eletrónica no âmbito de um sistema notificado para fins de identificação sempre que necessário para serviços em linha ou transações eletrónicas. A possibilidade de utilizar esses meios de identificação eletrónica permitirá que o setor privado recorra à identificação e à autenticação eletrónicas já amplamente utilizadas em muitos Estados-Membros pelo menos para os serviços públicos e que seja mais fácil para as empresas e para os cidadãos acederem aos seus serviços em linha noutros países. Para facilitar a utilização desses meios de identificação eletrónica a nível transfronteiras pelo setor privado, a possibilidade de autenticação oferecida pelos Estados-Membros deve estar disponível para as partes utilizadoras sem discriminações entre o setor público e o privado.

(15)     A utilização transnacional de meios de identificação eletrónica no âmbito de um sistema notificado exige aos Estados-Membros que cooperem para assegurar a interoperabilidade técnica. Tal exclui a existência de regras técnicas nacionais específicas que exijam às partes não nacionais que, por exemplo, obtenham hardware ou software específicos para verificar e validar a identificação eletrónica notificada. Em contrapartida, a imposição de requisitos técnicos aos utilizadores, decorrentes das especificações inerentes ao tipo de dispositivo/testemunho utilizado (por exemplo, cartões inteligentes), é inevitável.

(16)     A cooperação entre os Estados-Membros deve visar garantir a interoperabilidade técnica dos sistemas de identificação eletrónica notificados, a fim de criar um nível elevado de confiança e segurança, adequado ao grau de risco. A troca de informações e a partilha das melhores práticas entre os Estados-Membros tendo em vista o seu reconhecimento mútuo deverão facilitar essa cooperação.

(17)     O presente regulamento deve igualmente estabelecer um quadro legal geral para a utilização dos serviços de confiança eletrónicos. No entanto, não deve criar uma obrigação geral de utilização dos mesmos. Designadamente, não deve abranger a oferta de serviços baseada em acordos voluntários de direito privado. Também não deve abranger aspetos relacionados com a conclusão e a validade de contratos ou outras obrigações legais caso existam requisitos de caráter formal prescritos pelo direito nacional ou da União,

(18)     A fim de contribuir para a utilização transfronteiras generalizada dos serviços de confiança eletrónicos, deve ser possível utilizá-los como prova em justiça em todos os Estados-Membros.

(19)     Os Estados-Membros devem permanecer livres de definir outros tipos de serviços de confiança para além dos que figuram na lista fechada de serviços de confiança prevista no presente regulamento, tendo em vista o seu reconhecimento a nível nacional como serviços de confiança qualificados.

(20)     Devido ao ritmo da evolução tecnológica, o presente regulamento deve adotar uma abordagem aberta às inovações.

(21)     O presente regulamento deve ser tecnologicamente neutro. Os efeitos legais que o presente regulamento confere devem poder ser atingidos por qualquer meio técnico, desde que os requisitos do regulamento sejam cumpridos.

(22)     Para aumentar a confiança do público no mercado interno e promover a utilização de serviços e produtos de confiança, devem ser introduzidas as noções de serviço de confiança qualificado e de prestador de serviço de confiança qualificado, tendo em vista indicar os requisitos e obrigações a cumprir para assegurar um nível elevado de segurança em todos os serviços e produtos de confiança qualificados que sejam utilizados ou fornecidos.

(23)     Em consonância com as obrigações previstas na Convenção das Nações Unidas sobre os direitos das pessoas com deficiência, que entrou em vigor na UE, as pessoas com deficiência devem poder utilizar os serviços de confiança oferecidos e os produtos de utilizador final utilizados nesses serviços em condições idênticas às dos outros consumidores.

(24)     Um prestador de serviços de confiança é responsável pelo tratamento de dados pessoais e, como tal, tem que cumprir as obrigações estabelecidas na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados[22]. A recolha de dados, em particular, deve ser reduzida ao mínimo possível, tendo em conta a finalidade do serviço prestado.

(25)     As entidades supervisoras deverão cooperar e trocar informações com as autoridades responsáveis pela proteção de dados a fim de garantir a correta aplicação da legislação relativa à proteção de dados pelos prestadores de serviços. A troca de informações deverá, nomeadamente, abranger os incidentes de segurança e as violações dos dados pessoais.

(26)     Deverá competir a todos os prestadores de serviços de confiança aplicar boas práticas de segurança, adequadas aos riscos inerentes às suas atividades, de modo a incutirem nos utilizadores confiança no mercado único.

(27)     As disposições relativas à utilização de pseudónimos nos certificados não devem impedir os Estados-Membros de exigirem a identificação das pessoas nos termos da legislação da União ou nacional.

(28)     Todos os Estados-Membros deverão cumprir requisitos essenciais comuns em matéria de supervisão, a fim de garantir, para os serviços de confiança qualificados, um nível de segurança comparável. Para facilitar a aplicação coerente desses requisitos em toda a União, os Estados-Membros deverão adotar procedimentos comparáveis e trocar informações sobre as suas atividades de supervisão e as melhores práticas neste domínio.

(29)     A notificação das violações da segurança e das avaliações dos riscos para a segurança é essencial para fornecer informações adequadas às partes em causa em caso de violação da segurança ou de perda de integridade.

(30)     Para permitir à Comissão e aos Estados-Membros avaliar a eficácia do mecanismo de notificação das violações da segurança instaurado pelo presente regulamento, deve exigir-se às entidades supervisoras que forneçam informações sucintas à Comissão e à Agência Europeia para a Segurança das Redes e da Informação (ENISA).

(31)     Para permitir à Comissão e aos Estados-Membros avaliar o impacto do presente regulamento, deve exigir-se à entidades supervisoras que forneçam dados estatísticos sobre os serviços de confiança qualificados e sobre a sua utilização.

(32)     Para permitir à Comissão e aos Estados-Membros avaliar a eficácia do mecanismo de reforço da supervisão instaurado pelo presente regulamento, deve exigir-se às entidades supervisoras que façam relatório das suas atividades. Essa obrigação será fundamental para facilitar o intercâmbio de boas práticas entre as entidades supervisoras e garantirá a verificação de que os requisitos essenciais da supervisão são aplicados de modo coerente e eficiente em todos os Estados-Membros.

(33)     Para garantir a sustentabilidade e a durabilidade dos serviços de confiança qualificados e promover a confiança dos utilizadores na sua continuidade, as entidades supervisoras devem garantir que os dados dos prestadores de serviços de confiança qualificados sejam preservados e mantidos acessíveis durante um período de tempo adequado mesmo que um prestador de serviços de confiança qualificados deixe de existir.

(34)     Para facilitar a fiscalização dos prestadores de serviços de confiança qualificados, por exemplo no caso de um prestador oferecer os seus serviços no território de outro Estado-Membro onde não está sujeito a supervisão, ou no caso de os computadores de um prestador estarem localizados no território de um Estado-Membro diferente daquele em que se encontra estabelecido, deve ser criado um sistema de assistência mútua entre as entidades supervisoras dos Estados-Membros.

(35)     Os prestadores de serviços de confiança são responsáveis pelo cumprimento dos requisitos estabelecidos pelo presente regulamento para a prestação de serviços de confiança, em particular serviços de confiança qualificados. As entidades supervisoras têm a responsabilidade de fiscalizar o cumprimento desses requisitos pelos prestadores de serviços de confiança.

(36)     Para permitir um processo de iniciação eficaz, que deverá levar à inclusão em listas de confiança dos prestadores de serviços de confiança qualificados e dos serviços de confiança qualificados que eles prestam, deverão ser encorajadas as interações preliminares entre os futuros prestadores de serviços de confiança qualificados e a entidade supervisora competente, no intuito de facilitar as diligências necessárias para a oferta de serviços de confiança qualificados.

(37)     As listas de confiança são elementos essenciais para a criação de confiança entre os operadores do mercado, uma vez que indicam o estatuto de qualificado do prestador do serviço atribuído por ocasião da fiscalização, mas, por outro lado, não constituem um requisito prévio para que um prestador atinja o estatuto de qualificado e preste serviços de confiança qualificados, que resulta do facto de respeitar os requisitos do presente regulamento.

(38)     Uma vez que tenha sido objeto de uma notificação, um serviço de confiança qualificado não pode ser recusado para o cumprimento de um procedimento ou de uma formalidade administrativos pelo organismo público em causa pelo facto de não estar incluído nas listas de confiança elaboradas pelos Estados-Membros. Para efeitos do presente regulamento, um organismo do setor público é qualquer autoridade pública ou outra entidade à qual é confiada a prestação de serviços de administração pública em linha, como declarações fiscais em linha, pedidos de certidões de nascimento em linha, participação em concursos públicos eletrónicos, etc.

(39)     Embora seja necessário um nível elevado de segurança para garantir o reconhecimento mútuo das assinaturas eletrónicas, em casos específicos, como no contexto da Decisão 2009/767/CE da Comissão, de 16 de outubro 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de balcões únicos nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno[23], deverão igualmente ser aceites assinaturas eletrónicas com menor garantia de segurança.

(40)     Os dispositivos de criação de assinaturas eletrónicas qualificados devem poder ser confiados pelo signatário a um terceiro, desde que sejam aplicados mecanismos e procedimentos adequados para garantir que o signatário tem o controlo exclusivo da utilização dos dados necessários para a criação da sua assinatura eletrónica e que a utilização do dispositivo cumpre os requisitos da assinatura qualificada.

(41)     Para garantir segurança jurídica no que respeita à validade da assinatura, é essencial especificar quais os componentes de uma assinatura eletrónica qualificada que devem ser avaliados pela parte utilizadora que procede à validação. Além disso, a definição dos requisitos para os prestadores de serviços de confiança qualificados que podem prestar um serviço de validação qualificado a partes utilizadoras que não desejem ou não possam efetuar elas mesmas a validação das assinaturas eletrónicas qualificadas deverá estimular os setores público e privado a investirem em tais serviços. Ambos os setores devem tornar a validação das assinaturas eletrónicas qualificadas fácil e conveniente para todas as partes a nível da União.

(42)     Quando uma transação exigir um selo eletrónico qualificado de uma pessoa coletiva, deverá ser igualmente aceitável uma assinatura eletrónica qualificada do representante autorizado da pessoa coletiva.

(43)     Os selos eletrónicos devem servir de prova de que um documento eletrónico foi produzido por uma pessoa coletiva, garantindo a veracidade da origem e da integridade do documento.

(44)     O presente regulamento deve assegurar a preservação a longo prazo das informações, ou seja, a validade legal das assinaturas e dos selos eletrónicos durante períodos de tempo alargados, garantindo que possam ser validados independentemente da evolução tecnológica futura.

(45)     Para melhorar a utilização transfronteiras de documentos eletrónicos, o presente regulamento deve prever o efeito legal dos documentos eletrónicos, que devem ser considerados equivalentes a documentos em papel, dependendo da avaliação do risco e desde que a autenticidade e integridade dos documentos estejam asseguradas. Para o futuro desenvolvimento das transações eletrónicas transfronteiras no mercado interno, é também importante que os documentos eletrónicos originais ou as cópias certificadas produzidos num Estado-Membro por organismos competentes nos termos do direito nacional sejam também aceites enquanto tal nos outros Estados-Membros. O presente regulamento não deve afetar o direito dos Estados-Membros de determinarem o que constitui um original ou uma cópia a nível nacional, mas garante que estes possam também ser utilizados enquanto tal fora do território nacional.

(46)     Como as autoridades competentes dos Estados-Membros utilizam atualmente diferentes formatos de assinatura eletrónica avançada para assinar eletronicamente os seus documentos, é necessário garantir que pelo menos alguns formatos de assinatura eletrónica avançada possam ser tecnicamente aceites pelos Estados-Membros sempre que recebam documentos assinados eletronicamente. Do mesmo modo, se as autoridades competentes dos Estados-Membros utilizarem selos eletrónicos avançados, será necessário garantir a sua compatibilidade técnica com, pelo menos, alguns formatos de selo eletrónico avançado.

(47)     Para além de autenticarem o documento produzido pela pessoa coletiva, os selos eletrónicos podem ser utilizados para autenticar qualquer bem digital da pessoa coletiva, como, por exemplo, um código de software ou um servidor.

(48)     Ao possibilitar-se a autenticação de sítios Web e da pessoa que é sua proprietária, torna-se mais difícil a falsificação desses sítios e reduz-se, por conseguinte, a fraude.

(49)     Para complementar, de um modo flexível e rápido, certos aspetos técnicos detalhados do presente regulamento, deve ser delegado na Comissão o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia no que respeita à interoperabilidade da identificação eletrónica, às medidas de segurança exigidas aos prestadores de serviços de confiança, aos organismos independentes reconhecidos responsáveis pelas auditorias aos prestadores de serviços, às listas de confiança, às exigências relativas aos níveis de segurança das assinaturas eletrónicas, aos requisitos dos certificados qualificados para assinaturas eletrónicas, sua validação e preservação, aos organismos responsáveis pela certificação dos dispositivos de criação de assinaturas eletrónicas qualificados, às exigências relativas aos níveis de segurança dos selos eletrónicos e aos certificados qualificados de selos eletrónicos e à interoperabilidade dos serviços de entrega. É particularmente importante que a Comissão proceda a consultas adequadas durante os seus trabalhos preparatórios, inclusive a nível de peritos.

(50)     Quando preparar e redigir atos delegados, a Comissão deverá assegurar a transmissão simultânea, atempada e adequada dos documentos pertinentes ao Parlamento Europeu e ao Conselho.

(51)     Para garantir condições uniformes de aplicação do presente regulamento, devem ser conferidos à Comissão poderes de execução, nomeadamente para especificar os números de referência das normas cuja utilização conferirá uma presunção de conformidade com certos requisitos estabelecidos no presente regulamento ou definidos em atos delegados. Esses poderes devem ser exercidos em conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão[24].

(52)     Por razões de segurança jurídica e de clareza, a Diretiva 1999/93/CE deve ser revogada.

(53)     Para garantir segurança jurídica aos operadores do mercado que já utilizam certificados qualificados emitidos em conformidade com a Diretiva 1999/93/CE, é necessário prever um período de tempo suficiente para a transição. É também necessário dotar a Comissão de meios que lhe permitam adotar os atos de execução e os atos delegados antes dessa data.

(54)     Atendendo a que os objetivos do presente regulamento não podem ser suficientemente realizados pelos Estados-Membros e podem, pois, devido à dimensão da ação prevista, ser mais bem alcançados ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não vai além do necessário para atingir esse objetivo, em especial no que respeita ao papel da Comissão enquanto coordenadora das atividades nacionais,

ADOTARAM O PRESENTE REGULAMENTO:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.º

Objeto

1. O presente regulamento estabelece regras para a identificação eletrónica e os serviços de confiança eletrónicos utilizados nas transações eletrónicas, tendo em vista assegurar o correto funcionamento do mercado interno.

2. O presente regulamento estabelece as condições em que um Estado-Membro deve reconhecer e aceitar os meios de identificação eletrónica de pessoas singulares e coletivas no quadro de um sistema de identificação eletrónica notificado de outro Estado-Membro.

3. O presente regulamento institui um quadro legal para as assinaturas eletrónicas, os selos eletrónicos, os carimbos eletrónicos da hora, os documentos eletrónicos, os serviços de entrega eletrónica e a autenticação de sítios Web.

4. O presente regulamento garante que os serviços e produtos de confiança conformes com as suas disposições sejam autorizados a circular livremente no mercado interno.

Artigo 2.º

Âmbito de aplicação

1. O presente regulamento aplica-se à identificação eletrónica fornecida pelos, em nome dos ou sob a responsabilidade dos Estados-Membros e aos prestadores de serviços de confiança estabelecidos na União.

2. O presente regulamento não se aplica à oferta de serviços de confiança eletrónicos com base em acordos voluntários de direito privado.

3. O presente regulamento não abrange aspetos relacionados com a conclusão e a validade de contratos ou outras obrigações legais em que existam requisitos de caráter formal prescritos pelo direito nacional ou da União.

Artigo 3.º

Definições

Para efeitos do presente regulamento, entende-se por:

1) «Identificação eletrónica»: o processo de utilização de dados de identificação pessoal em formato eletrónico que representam inequivocamente uma pessoa singular ou coletiva;

2) «Meio de identificação eletrónico»: uma unidade material ou imaterial que contém os dados referidos no ponto 1) do presente artigo e que é utilizada para aceder a serviços em linha nos termos previstos no artigo 5.º;

3) «Sistema de identificação eletrónica»: um sistema em que são produzidos meios de identificação eletrónica para as pessoas referidas no ponto 1) do presente artigo;

4) «Autenticação»: processo eletrónico que permite a validação da identificação eletrónica de uma pessoa singular ou coletiva ou da origem e integridade de um dado eletrónico;

5) «Signatário»: pessoa singular que cria uma assinatura eletrónica;

6) «Assinatura eletrónica»: dados em forma eletrónica que se ligam ou estão logicamente associados a outros dados eletrónicos e que são utilizados pelo signatário para assinar;

7) «Assinatura eletrónica avançada»: uma assinatura eletrónica que obedece aos seguintes requisitos:

(a) está associada de forma única ao signatário;

(b) permite identificar o signatário;

(c) é criada utilizando dados para a criação de uma assinatura eletrónica que o signatário pode, com um elevado nível de confiança, utilizar sob o seu controlo exclusivo; e

(d) está ligada aos dados a que diz respeito de tal modo que qualquer alteração subsequente dos dados é detetável;

8) «Assinatura eletrónica qualificada»: uma assinatura eletrónica avançada que é criada por um dispositivo de criação de assinaturas eletrónicas qualificado e que se baseia num certificado qualificado de assinatura eletrónica;

9) «Dados para a criação de uma assinatura eletrónica»: dados exclusivos que são utilizados pelo signatário para criar uma assinatura eletrónica;

10) «Certificado»: um atestado eletrónico que associa os dados de validação da assinatura eletrónica ou do selo eletrónico respetivamente de uma pessoa singular ou coletiva a um certificado e confirma os dados dessa pessoa;

11) «Certificado qualificado de assinatura eletrónica»: um atestado que é utilizado como suporte das assinaturas eletrónicas, é emitido por um prestador de serviços de confiança qualificado e satisfaz os requisitos estabelecidos no anexo I;

12) «Serviço de confiança»: qualquer serviço eletrónico que vise a criação, verificação, validação, tratamento e preservação de assinaturas eletrónicas, selos eletrónicos, carimbos eletrónicos da hora, documentos eletrónicos, serviços de entrega eletrónica, autenticação de sítios Web e certificados eletrónicos, incluindo certificados de assinatura eletrónica e de selos eletrónicos;

13) «Serviço de confiança qualificado»: um serviço de confiança que satisfaz os requisitos aplicáveis previstos no presente regulamento;

14) «Prestador de serviços de confiança»: uma pessoa singular ou coletiva que presta um ou mais do que um serviço de confiança;

15) «Prestador de serviços de confiança qualificado»: um prestador de serviços de confiança que satisfaz os requisitos estabelecidos no presente regulamento;

16) «Produto»: hardware ou software, ou componentes pertinentes dos mesmos, que se destinam a ser utilizados para a oferta de serviços de confiança;

17) «Dispositivo de criação de assinaturas eletrónicas»: software ou hardware configurados, utilizados para criar assinaturas eletrónicas;

18) «Dispositivo de criação de assinaturas eletrónicas qualificado»: um dispositivo para criação de assinaturas eletrónicas conforme com os requisitos constantes do anexo II;

19) «Criador de um selo»: uma pessoa coletiva que cria um selo eletrónico;

20) «Selo eletrónico»: dados em forma eletrónica que são apensos ou logicamente associados a outros dados eletrónicos para garantir a origem e a integridade dos dados associados;

21) «Selo eletrónico avançado»: um selo eletrónico que obedece aos seguintes requisitos:

(a) está associado de forma única ao seu criador;

(b) permite identificar o seu criador;

(c) é criado utilizando dados para a criação de um selo eletrónico que o criador do selo pode, com um elevado nível de confiança e sob o seu controlo, utilizar para a criação de um selo eletrónico; e

(d) está ligado aos dados a que diz respeito de tal modo que qualquer alteração subsequente dos dados é detetável;

22) «Selo eletrónico qualificado»: um selo eletrónico avançado que é criado por um dispositivo de criação de selos eletrónicos qualificado e que se baseia num certificado qualificado de selo eletrónico;

23) «Dados para a criação de um selo eletrónico»: dados únicos que são utilizados pelo criador do selo eletrónico para criar um selo eletrónico;

24) «Certificado qualificado de selo eletrónico»: um atestado que é utilizado como suporte de um selo eletrónico, é emitido por um prestador de serviços de confiança qualificado e satisfaz os requisitos estabelecidos no anexo III;

25) «Carimbo eletrónico da hora»: dados em forma eletrónica que vinculam outros dados eletrónicos a uma hora específica, criando uma prova de que esses dados existiam nesse momento;

26) «Carimbo eletrónico da hora qualificado»: um carimbo eletrónico da hora que satisfaz os requisitos estabelecidos no artigo 33.º;

27) «Documento eletrónico»: um documento num qualquer formato eletrónico;

28) «Serviço de entrega eletrónica»: um serviço que torna possível a transmissão de dados por meios eletrónicos e fornece prova do tratamento dos dados transmitidos, nomeadamente a prova do envio ou da receção dos mesmos, e que protege os dados transferidos contra o risco de perda, roubo, dano ou alterações não autorizadas;

29) «Serviço de entrega eletrónica qualificado»: um serviço de entrega eletrónica que satisfaz os requisitos estabelecidos no artigo 36.º;

30) «Certificado qualificado de autenticação de sítio Web»: um atestado que torna possível autenticar um sítio Web e que associa o sítio Web à pessoa para a qual o certificado é emitido, é emitido por um prestador de serviços de confiança qualificado e satisfaz os requisitos estabelecidos no anexo IV;

31) «Dados de validação»: dados que são utilizados para validar uma assinatura eletrónica ou um selo eletrónico.

Artigo 4.º

Princípios relativos ao mercado interno

1. Não pode haver restrições à oferta de serviços de confiança no território de um Estado-Membro por um prestador de serviços de confiança estabelecido noutro Estado-Membro por razões que se enquadrem nos domínios cobertos pelo presente regulamento.

2. Os produtos que estejam conformes com o presente regulamento estão autorizados a circular livremente no mercado interno.

CAPÍTULO II

IDENTIFICAÇÃO ELETRÓNICA

Artigo 5.º

Reconhecimento e aceitação mútuos

Quando, para aceder a um serviço em linha, seja exigida, nos termos da legislação ou da prática administrativa nacionais, uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação, qualquer meio de identificação eletrónica produzido noutro Estado-Membro e que se enquadre num sistema constante da lista publicada pela Comissão de acordo com o procedimento referido no artigo 7.º deve ser reconhecido e aceite para efeitos de acesso a esse serviço.

Artigo 6.º

Condições de notificação dos sistemas de identificação eletrónica

1. Os sistemas de identificação eletrónica são elegíveis para notificação nos termos do artigo 7.º se estiverem reunidas todas as seguintes condições:

(a) os meios de identificação eletrónica são produzidos pelo Estado-Membro notificante, em seu nome ou sob a sua responsabilidade;

(b) os meios de identificação eletrónica podem ser utilizados para aceder pelo menos a serviços públicos que exigem identificação eletrónica no Estado-Membro notificante;

(c) o Estado-Membro notificante garante que os dados da identificação da pessoa sejam atribuídos inequivocamente à pessoa singular ou coletiva referida no artigo 3.º, ponto 1);

(d) o Estado-Membro notificante garante a disponibilidade de uma possibilidade de autenticação em linha, em qualquer altura e gratuitamente, para que qualquer parte utilizadora possa validar os dados de identificação da pessoa recebidos em forma eletrónica. Os Estados-Membros não podem impor requisitos técnicos específicos às partes utilizadores estabelecidas fora do seu território que tencionam efetuar essa autenticação. Se o sistema de identificação notificado ou a possibilidade de autenticação forem violados ou parcialmente afetados, os Estados-Membros devem suspender ou revogar sem demora o sistema de identificação notificado ou a possibilidade de autenticação ou as partes afetadas em causa e informar do facto os outros Estados-Membros e a Comissão em conformidade com o artigo 7.º;

(e) o Estado-Membro notificante é responsável:

– (i) pela atribuição inequívoca dos dados de identificação da pessoa referidos na alínea c); e

– (ii) pela possibilidade de autenticação especificada na alínea d).

2. A alínea e) do n.º 1 não prejudica a responsabilidade das partes numa transação em que sejam utilizados meios de identificação eletrónica abrangidos pelo sistema notificado.

Artigo 7.º

Notificação

1. Os Estados-Membros que notifiquem um sistema de identificação eletrónica devem enviar à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações subsequentes às mesmas:

(a) uma descrição do sistema de identificação eletrónica notificado;

(b) as autoridades responsáveis pelo sistema de identificação eletrónica notificado;

(c) informações sobre quem gere o registo dos identificadores inequívocos da pessoa;

(d) uma descrição da possibilidade de autenticação;

(e) as disposições previstas para a suspensão ou a revogação do sistema de identificação notificado, da possibilidade de autenticação ou das partes afetadas em causa.

2. Seis meses após a entrada em vigor do regulamento, a Comissão publica no Jornal Oficial da União Europeia a lista dos sistemas de identificação eletrónica que foram notificados nos termos do n.º 1 e as informações básicas a eles respeitantes.

3. Caso receba uma notificação após o termo do prazo referido no n.º 2, a Comissão altera a lista num prazo de três meses.

4. A Comissão pode, através de atos de execução, definir as circunstâncias, os formatos e os procedimentos da notificação referida nos n.os 1 e 3. Esses atos de execução são adotados em conformidade com o procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 8.º

Coordenação

1. Os Estados-Membros devem cooperar no sentido de garantir a interoperabilidade dos meios de identificação eletrónica abrangidos por um sistema notificado e melhorar a segurança desses meios.

2. A Comissão estabelecerá, através de atos de execução, as necessárias modalidades de facilitação da cooperação entre os Estados-Membros a que se refere o n.º 1, tendo em vista promover um nível elevado de confiança e segurança, adequado ao grau de risco. Esses atos de execução versarão, nomeadamente, sobre a troca de informações, experiências e boas práticas em matéria de sistemas de identificação eletrónica, a avaliação pelos pares dos sistemas de identificação eletrónica notificados e o exame, pelas autoridades competentes dos Estados-Membros, dos desenvolvimentos importantes que surjam no setor da identificação eletrónica. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

3. A Comissão tem poderes para adotar atos delegados em conformidade com o artigo 38.º no que respeita à facilitação da interoperabilidade transfronteiras dos meios de identificação eletrónica através do estabelecimento de requisitos técnicos mínimos.

CAPÍTULO III

SERVIÇOS DE CONFIANÇA

Secção 1

Disposições gerais

Artigo 9.º

Responsabilidade

1. Um prestador de serviços de confiança é responsável por qualquer dano direto causado a uma pessoa singular ou coletiva devido ao não cumprimento das obrigações previstas no artigo 15.º, n.º 1, a menos que prove que não agiu com negligência.

2. Um prestador de serviços de confiança qualificado é responsável por qualquer dano direto causado a uma pessoa singular ou coletiva devido ao não cumprimento dos requisitos do presente regulamento, em particular os previstos no artigo 19.º, a menos que prove que não agiu com negligência.

Artigo 10.º

Prestadores de serviços de confiança de países terceiros

1. Os serviços de confiança qualificados e os certificados qualificados fornecidos por prestadores de serviços de confiança qualificados estabelecidos num país terceiro devem ser aceites como serviços de confiança qualificados e certificados qualificados fornecidos por prestadores de serviços de confiança qualificados estabelecidos no território da União Europeia, se os serviços de confiança qualificados ou os certificados qualificados originários do país terceiro forem reconhecidos ao abrigo de um acordo entre a União e os países terceiros ou organizações internacionais em conformidade com o artigo 218.º do TFUE.

2. No que respeita ao n.º 1, tais acordos devem garantir que os requisitos aplicáveis aos serviços de confiança qualificados e aos certificados qualificados fornecidos por prestadores de serviços de confiança qualificados estabelecidos no território da União sejam cumpridos pelos prestadores de serviços de confiança dos países terceiros ou organizações internacionais, especialmente no que se refere à proteção dos dados pessoais, à segurança e à supervisão.

Artigo 11.º

Tratamento e proteção dos dados

1. Os prestadores de serviços de confiança e as entidades supervisoras devem garantir um tratamento leal e lícito dos dados pessoais processados, em conformidade com a Diretiva 95/46/CE.

2. Os prestadores de serviços de confiança devem tratar os dados pessoais de acordo com a Diretiva 95/46/CE. Esse tratamento estará estritamente limitado aos dados mínimos necessários para emitir e manter atualizado um certificado ou fornecer um serviço de confiança.

3. Os prestadores de serviços de confiança devem garantir a confidencialidade e a integridade dos dados relativos à pessoa à qual o serviço de confiança é prestado.

4. Sem prejuízo dos efeitos legais conferidos aos pseudónimos nos termos das legislações nacionais, os Estados-Membros não poderão impedir que os prestadores de serviços de confiança indiquem nos certificados de assinatura eletrónica um pseudónimo em vez do nome do signatário.

Artigo 12.º

Acessibilidade para as pessoas com deficiência

Os serviços de confiança oferecidos e os produtos de utilizador final utilizados na oferta desses serviços devem, sempre que possível, ser tornados acessíveis às pessoas com deficiência.

Secção 2

Supervisão

Artigo 13.º

Entidade supervisora

1. Os Estados-Membros designam uma entidade adequada estabelecida no seu território ou, por mútuo acordo, noutro Estado-Membro sob a responsabilidade do Estado-Membro que procede à designação. As entidades supervisoras serão dotadas de todos os poderes de fiscalização e investigação necessários para o exercício das suas funções.

2. A entidade supervisora é responsável pelo exercício das seguintes funções:

(a) fiscalizar os prestadores de serviços de confiança estabelecidos no território do Estado-Membro que procede à designação para garantir que cumprem os requisitos estabelecidos no artigo 15.º;

(b) fiscalizar os prestadores de serviços de confiança qualificados estabelecidos no território do Estado-Membro que procede à designação e dos serviços de confiança qualificados que oferecem, por forma a garantir que os ditos prestadores e os serviços de confiança qualificados que oferecem cumprem os requisitos aplicáveis estabelecidos no presente regulamento;

(c) garantir que as informações e os dados pertinentes referidos no artigo 19.º, n.º 2, alínea g), e registados pelos prestadores de serviços de confiança qualificados sejam preservados e mantidos acessíveis durante um prazo adequado depois de cessarem as atividades do prestador de serviços de confiança qualificado, com o intuito de garantir a continuidade do serviço.

3. Cada entidade supervisora deve apresentar à Comissão e aos Estados-Membros, até ao final do primeiro trimestre do ano seguinte, um relatório anual sobre as atividades de supervisão do último ano. O relatório deve incluir, pelo menos:

(a) informações sobre as suas atividades de supervisão;

(b) um resumo das notificações de violações recebidas dos prestadores de serviços de confiança em conformidade com o disposto no artigo 15.º, n.º 2;

(c) dados estatísticos sobre o mercado e a utilização dos serviços de confiança qualificados, incluindo informações sobre os próprios prestadores de serviços de confiança qualificados, os serviços de confiança qualificados que oferecem, os produtos que utilizam e uma descrição geral dos seus clientes.

4. Os Estados-Membros devem notificar à Comissão e aos outros Estados-Membros os nomes e os endereços das respetivas entidades supervisoras designadas.

5. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, no que diz respeito à definição dos procedimentos aplicáveis às funções referidas no n.º 2.

6. A Comissão pode, através de atos de execução, definir as circunstâncias, os formatos e os procedimentos para o relatório referido no n.º 3. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 14.º

Assistência mútua

1. As entidades supervisoras devem cooperar tendo em vista o intercâmbio de boas práticas e o fornecimento mútuo, no mais curto prazo possível, de informações pertinentes e assistência para que as respetivas atividades possam ser levadas a cabo de uma maneira coerente. A assistência mútua deve abranger, em particular, pedidos de informações e medidas de supervisão, tais como pedidos para efetuar inspeções relacionadas com as auditorias de segurança, referidas nos artigos 15.º, 16.º e 17.º.

2. Uma entidade supervisora à qual tenha sido dirigido um pedido de assistência não pode recusar dar-lhe cumprimento, salvo se:

(a) não for competente para dar resposta ao pedido; ou

(b) a satisfação do pedido for incompatível com o presente regulamento.

3. Quando adequado, as entidades supervisoras podem efetuar investigações conjuntas nas quais participem quadros das entidades supervisoras de outros Estados-Membros.

A entidade supervisora do Estado-Membro em que se realizará a investigação, em conformidade com a sua própria legislação nacional, pode delegar tarefas de investigação no pessoal da entidade supervisora assistida. Esses poderes apenas podem ser exercidos sob a orientação e na presença de pessoal da entidade supervisora anfitriã. O pessoal da entidade supervisora assistida está sujeito à legislação nacional da entidade supervisora anfitriã. A entidade supervisora anfitriã assume a responsabilidade pelas ações do pessoal da entidade supervisora assistida.

4. A Comissão pode especificar, por meio de atos de execução, as modalidades e os procedimentos da assistência mútua a que se refere o presente artigo. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 15.º

Requisitos de segurança aplicáveis aos prestadores de serviços de confiança

1. Os prestadores de serviços de confiança que estejam estabelecidos no território da União devem tomar as medidas técnicas e organizacionais adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta o estado da técnica, essas medidas devem assegurar um nível de segurança adequado ao grau de risco existente. Em particular, devem ser tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.

Sem prejuízo do artigo 16.º, n.º 1, qualquer prestador de serviços de confiança pode submeter o relatório de uma auditoria de segurança realizada por um organismo independente reconhecido à apreciação da entidade supervisora, para que esta confirme que foram tomadas as medidas de segurança adequadas.

2. Os prestadores de serviços de confiança devem notificar, sem demora indevida e, se possível, no prazo máximo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora competente, a entidade nacional competente em matéria de segurança da informação e terceiros relevantes, como as autoridades responsáveis pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo no serviço de confiança prestado e nos dados pessoais por ele mantidos.

Se adequado, em particular se uma violação da segurança ou uma perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora em causa informa do facto as entidades supervisoras dos outros Estados-Membros e a Agência Europeia para a Segurança das Redes e da Informação (ENISA).

A entidade supervisora em causa pode igualmente informar o público ou exigir que o prestador do serviço de confiança o faça, caso considere que a divulgação da violação é do interesse público.

3. A entidade supervisora deve fornecer à ENISA e à Comissão, uma vez por ano, um resumo das notificações de violações recebidas dos prestadores de serviços de confiança.

4. Para pôr em prática o disposto nos números 1 e 2, a entidade supervisora tem poderes para emitir instruções vinculativas para os prestadores de serviços de confiança.

5. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, que visem uma maior especificação das medidas referidas no n.º 1.

6. A Comissão pode, através de atos de execução, definir as circunstâncias, os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto nos n.os 1 a 3. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 16.º

Fiscalização dos prestadores de serviços de confiança qualificados

1. Os prestadores de serviços de confiança qualificados são auditados uma vez por ano por um organismo independente reconhecido, para confirmar que eles, prestadores, e os serviços de confiança qualificados que prestam cumprem os requisitos estabelecidos pelo presente regulamento, devendo apresentar o relatório da auditoria de segurança à entidade supervisora.

2. Sem prejuízo do disposto no n.º 1, a entidade supervisora pode, em qualquer altura, por iniciativa própria ou em resposta a um pedido da Comissão, auditar os prestadores de serviços de confiança qualificados para confirmar que eles, prestadores, e os serviços de confiança qualificados que prestam continuam a satisfazer as condições estabelecidas no presente regulamento. A entidade supervisora informa as autoridades responsáveis pela proteção de dados dos resultados das suas auditorias, caso suspeite de que tenham sido violadas as regras de proteção dos dados pessoais.

3. A entidade supervisora tem poderes para emitir instruções vinculativas aos prestadores de serviços de confiança qualificados para que corrijam os eventuais incumprimentos dos requisitos, mencionados no relatório da auditoria de segurança.

4. No respeitante ao disposto no n.º 3, se o prestador de serviços de confiança qualificado não corrigir o incumprimento dentro de um prazo fixado pela entidade supervisora, perde o seu estatuto de qualificado e será informado pela entidade supervisora de que o seu estatuto será alterado em conformidade nas listas de confiança a que se refere o artigo 18.º.

5. A Comissão tem poderes para adotar atos delegados em conformidade com o artigo 38.º no que respeita à especificação das condições em que o organismo independente que efetua a auditoria referida no n.º 1 do presente artigo, no artigo 15.º, n.º 1 e no artigo 17.º, n.º 1, será reconhecido.

6. A Comissão pode, através de atos de execução, definir as circunstâncias, os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1, 2 e 4. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 17.º

Início de um serviço de confiança qualificado

1. Os prestadores de serviços de confiança qualificados devem notificar a entidade supervisora da sua intenção de começarem a prestar um serviço de confiança qualificado, devendo apresentar à dita entidade o relatório de uma auditoria de segurança efetuada por um organismo independente reconhecido, como previsto no artigo 16.º, n.º 1. Os prestadores de serviços de confiança qualificados podem começar a prestar o serviço de confiança qualificado após terem entregue a notificação e o relatório de auditoria de segurança à entidade supervisora.

2. Uma vez entregues à entidade supervisora os documentos pertinentes, em conformidade com o n.º 1, os prestadores de serviços qualificados são incluídos nas listas de confiança a que se refere o artigo 18.º indicando que a notificação foi entregue.

3. A entidade supervisora verifica a conformidade do prestador de serviços de confiança qualificado e dos serviços qualificados que ele presta com os requisitos do regulamento.

A entidade supervisora indica, nas listas de confiança, o estatuto de qualificado dos prestadores de serviços qualificados e dos serviços de confiança qualificados que eles prestam após a conclusão positiva da verificação, o mais tardar um mês após a notificação efetuada em conformidade com o n.º 1.

Se a verificação não ficar concluída no prazo de um mês, a entidade supervisora informa do facto o prestador de serviços de confiança qualificado, especificando as razões do atraso e a data prevista para a conclusão da verificação.

4. Um serviço de confiança qualificado que tenha sido objeto de notificação nos termos do n.º 1 não pode ser recusado para o cumprimento de um procedimento ou de uma formalidade administrativos pelo organismo público em causa pelo facto de não estar incluído nas listas referidas no n.º 3.

5. A Comissão pode, através de atos de execução, definir as circunstâncias, os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1, 2 e 3. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 18.º

Listas de confiança

1. Cada Estado-Membro estabelece, mantém e publica listas de confiança contendo informações relativas aos prestadores de serviços de confiança qualificados para os quais é competente, assim como informações relacionadas com os serviços de confiança qualificados que eles prestam.

2. Os Estados-Membros estabelecem, mantêm e publicam, de um modo seguro, as listas de confiança, eletronicamente assinadas ou seladas, previstas no n.º 1, num formato adequado ao tratamento automático.

3. Os Estados-Membros comunicam à Comissão, sem atrasos indevidos, informações sobre a entidade responsável pelo estabelecimento, a manutenção e a publicação das listas de confiança nacionais, assim como pormenores do local em que tais listas se encontram publicadas, o certificado utilizado para assinar ou selar as listas de confiança e as eventuais alterações às mesmas.

4. A Comissão disponibiliza ao público, através de um canal seguro, as informações referidas no n.º 3 num formato eletronicamente assinado ou selado, adequado ao tratamento automático.

5. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, no que diz respeito à definição das informações referidas no n.º 1.

6. A Comissão pode, através de atos de execução, definir as especificações técnicas e os formatos das listas de confiança, aplicáveis para efeitos do disposto nos n.os 1 a 4. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 19.º

Requisitos aplicáveis aos prestadores de serviços de confiança qualificados

1. Ao emitir um certificado qualificado, um prestador de serviços de confiança qualificado deve verificar, através de meios adequados e de acordo com a legislação nacional, a identidade e, se aplicável, os atributos específicos da pessoa singular ou coletiva para a qual é emitido o certificado qualificado.

Essas informações são verificadas pelo prestador de serviços qualificado ou por um terceiro autorizado que aja sob a responsabilidade do prestador de serviços qualificado:

(a) pela comparência física da pessoa singular ou de um representante autorizado da pessoa coletiva, ou

(b) à distância, utilizando meios de identificação eletrónica abrangidos por um sistema notificado, produzidos em conformidade com a alínea a).

2. Os prestadores de serviços de confiança qualificados que prestam serviços de confiança qualificados devem:

(a) empregar pessoal que possua a especialização, a experiência e as qualificações necessárias, aplique procedimentos administrativos e de gestão que correspondam às normas europeias ou internacionais e tenha recebido formação adequada em matéria de regras de segurança e de proteção de dados pessoais;

(b) suportar o risco da responsabilidade por danos mantendo recursos financeiros suficientes ou recorrendo a um sistema adequado de seguro de responsabilidade;

(c) antes de estabelecerem uma relação contratual, informar as pessoas que pretendem utilizar um serviço de confiança qualificado dos termos e condições exatos da utilização desse serviço;

(d) utilizar sistemas e produtos fiáveis que estejam protegidos contra modificações e que garantam a segurança e a fiabilidade técnicas do processo de que são suporte;

(e) utilizar sistemas fiáveis de armazenamento dos dados que lhes são fornecidos, num formato verificável, de modo a que:

– os dados apenas estejam publicamente disponíveis para extração se tiver sido obtido o consentimento da pessoa para a qual os dados foram emitidos;

– apenas as pessoas autorizadas possam introduzir dados e alterações;

– a autenticidade das informações possa ser verificada;

(f) tomar medidas contra a falsificação e o roubo dos dados;

(g) registar, durante um período de tempo adequado, todas as informações pertinentes relativas aos dados emitidos e recebidos pelo prestador de serviços de confiança qualificado, em particular para efeitos de produção de prova em processos judiciais. Esse registo poderá ser feito eletronicamente;

(h) dispor de um plano de cessação de atividades atualizado que garanta a continuidade do serviço de acordo com as disposições emitidas pela entidade supervisora nos termos do artigo 13.º, n.º 2, alínea c);

(i) garantir um tratamento lícito dos dados pessoais em conformidade com o artigo 11.º.

3. Os prestadores de serviços de confiança qualificados que emitam certificados qualificados devem registar na sua base de dados de certificados a revogação do certificado no prazo de dez minutos após a efetivação da revogação.

4. No que respeita ao disposto no n.º 3, os prestadores de serviços de confiança qualificados que emitam certificados qualificados devem fornecer a qualquer parte utilizadora informações sobre o estatuto de válido ou de revogado dos certificados qualificados por eles emitidos. Estas informações devem ser disponibilizadas em qualquer altura, para cada certificado pelo menos, de uma maneira automática que seja fiável, gratuita e eficaz.

5. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos sistemas e produtos fiáveis. Os sistemas e produtos fiáveis conformes com essas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no artigo 19.º. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Secção 3

Assinatura eletrónica

Artigo 20.º

Efeitos legais e aceitação das assinaturas eletrónicas

1. A forma eletrónica de uma assinatura, por si só, não pode ser motivo para que lhe sejam negados efeitos legais e a admissibilidade enquanto prova em processos judiciais.

2. Uma assinatura eletrónica qualificada tem um efeito legal equivalente ao de uma assinatura manuscrita.

3. As assinaturas eletrónicas qualificadas devem ser reconhecidas e aceites em todos os Estados-Membros.

4. Se for exigida uma assinatura eletrónica com um nível de garantia de segurança inferior ao de uma assinatura eletrónica qualificada, nomeadamente por um Estado-Membro, para se aceder a um serviço em linha oferecido por um organismo público, com base numa avaliação adequada dos riscos envolvidos em tal serviço, devem ser reconhecidas e aceites todas as assinaturas eletrónicas que ofereçam pelo menos o mesmo nível de garantia de segurança.

5. Os Estados-Membros não poderão exigir, para o acesso transfronteiras a um serviço em linha oferecido por um organismo público, uma assinatura eletrónica com um nível de garantia de segurança superior ao de uma assinatura eletrónica qualificada.

6. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, no que diz respeito à definição dos diferentes níveis de segurança das assinaturas eletrónicas referidos no n.º 4.

7. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos níveis de segurança das assinaturas eletrónicas. Uma assinatura eletrónica conforme com essas normas beneficia da presunção de conformidade com o nível de segurança definido no ato delegado adotado em conformidade com o n.º 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Artigo 21.º

Certificados qualificados de assinatura eletrónica

1. Os certificados qualificados de assinatura eletrónica devem cumprir os requisitos estabelecidos no anexo I.

2. Os certificados qualificados de assinatura eletrónica não podem estar sujeitos a qualquer requisito obrigatório que exceda os requisitos estabelecidos no anexo I.

3. Um certificado qualificado de assinatura eletrónica que tenha sido revogado após a ativação inicial perde a validade, não podendo o seu estatuto ser revertido, em nenhuma circunstância, através da renovação da sua validade.

4. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para uma especificação mais detalhada dos requisitos estabelecidos no anexo I.

5. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de assinatura eletrónica. Um certificado qualificado de assinatura eletrónica que seja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no anexo I. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Artigo 22.º

Requisitos aplicáveis aos dispositivos de criação de assinaturas eletrónicas qualificados

1. Os dispositivos de criação de assinaturas eletrónicas qualificados devem cumprir os requisitos estabelecidos no anexo II.

2. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos dispositivos de criação de assinaturas eletrónicas qualificados. Um dispositivo de criação de assinaturas eletrónicas qualificado que seja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no anexo II. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Artigo 23.º

Certificação dos dispositivos de criação de assinaturas eletrónicas qualificados

1. Os dispositivos de criação de assinaturas eletrónicas qualificados podem ser certificados por entidades públicas ou privadas competentes designadas pelos Estados-Membros, desde que tenham sido submetidos a um processo de avaliação da segurança realizado de acordo com uma das normas para a avaliação da segurança dos produtos informáticos incluídas numa lista a estabelecer pela Comissão através de atos de execução. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

2. Os Estados-Membros devem notificar a Comissão e os outros Estados-Membros do nome e endereço da entidade pública ou privada por eles designada, referida no n.º 1.

3. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para o estabelecimento dos critérios específicos a cumprir pelas entidades designadas referidas no n.º 1.

Artigo 24.º

Publicação de uma lista de dispositivos de criação de assinaturas eletrónicas qualificados e certificados

1. Os Estados-Membros devem notificar à Comissão, sem atrasos indevidos, informações sobre os dispositivos de criação de assinaturas eletrónicas qualificados que tenham sido certificados pelas entidades referidas no artigo 23.º. Devem também notificar à Comissão, sem atrasos indevidos, informações sobre os dispositivos de criação de assinaturas eletrónicas que deixem de estar certificados.

2. Com base nas informações recebidas, a Comissão estabelece, publica e mantém atualizada uma lista dos dispositivos de criação de assinaturas eletrónicas qualificados certificados.

3. A Comissão pode, através de atos de execução, definir as circunstâncias, os formatos e os procedimentos aplicáveis para efeitos do disposto no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Artigo 25.º

Requisitos para a validação das assinaturas eletrónicas qualificadas

1. Uma assinatura eletrónica qualificada é considerada válida caso se possa estabelecer com um elevado nível de certeza que, no momento da assinatura:

(a) o certificado, que serve de suporte à assinatura, é um certificado de assinatura eletrónica qualificado conforme com o disposto no anexo I;

(b) o certificado qualificado exigido é autêntico e válido;

(c) os dados para validação da assinatura correspondem aos dados fornecidos à parte utilizadora;

(d) o conjunto de dados que representam inequivocamente o signatário é corretamente fornecido à parte utilizadora;

(e) a utilização de um pseudónimo, se for esse o caso, é claramente indicada à parte utilizadora;

(f) a assinatura eletrónica foi criada por um dispositivo de criação de assinatura eletrónica qualificado;

(g) a integridade dos dados assinados não foi afetada;

(h) os requisitos previstos no artigo 3.º, alínea 7), estão cumpridos;

(i) o sistema utilizado para validar a assinatura fornece à parte utilizadora o resultado correto do processo de validação e permite-lhe detetar eventuais problemas de segurança pertinentes.

2. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para uma especificação mais detalhada dos requisitos estabelecidos no n.º 1.

3. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas para a validação de assinaturas eletrónicas qualificadas. A validação de assinaturas eletrónicas qualificadas que seja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.º 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Artigo 26.º

Serviço de validação qualificado para assinaturas eletrónicas qualificadas

1. Um serviço de validação qualificado para assinaturas eletrónicas qualificadas deve ser prestado por um prestador de serviços de confiança qualificado que:

(a) efetue a validação em conformidade com o artigo 25.º, n.º 1, e

(b) permita às partes utilizadoras receber o resultado do processo de validação de um modo automático que seja fiável e eficaz e que inclua a assinatura eletrónica avançada ou o selo eletrónico avançado do prestador do serviço de validação qualificado.

2. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas ao serviço de validação qualificado referido no n.º 1. O serviço de validação de assinaturas eletrónicas qualificadas que seja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.º 1, alínea b). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Artigo 27.º

Preservação das assinaturas eletrónicas qualificadas

1. Um serviço de preservação de assinaturas eletrónicas qualificadas deve ser prestado por um prestador de serviços de confiança qualificado que utilize procedimentos e tecnologias capazes de prolongar a fiabilidade dos dados de validação das assinaturas eletrónicas qualificadas para além do prazo de validade tecnológica.

2. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para uma especificação mais detalhada dos requisitos estabelecidos no n.º 1.

3. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas à preservação de assinaturas eletrónicas qualificadas. As disposições para a preservação de assinaturas eletrónicas qualificadas que sejam conformes com essas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no n.º 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Secção 4

Selos eletrónicos

Artigo 28.º

Efeitos legais do selo eletrónico

1. A forma eletrónica de um selo, por si só, não pode ser motivo para que lhe sejam negados efeitos legais e a admissibilidade enquanto prova em processos judiciais.

2. Um selo eletrónico qualificado beneficia da presunção legal de garantir a origem e a integridade dos dados aos quais está associado.

3. Um selo eletrónico qualificado deve ser reconhecido e aceite em todos os Estados‑Membros.

4. Se for exigido um selo eletrónico com um nível de garantia de segurança inferior ao de um selo eletrónico qualificado, nomeadamente por um Estado-Membro, para aceder a um serviço em linha oferecido por um organismo público, com base numa avaliação adequada dos riscos envolvidos em tal serviço, devem ser aceites todos os selos eletrónicos que ofereçam pelo menos o mesmo nível de garantia de segurança.

5. Os Estados-Membros não poderão exigir para o acesso a um serviço em linha oferecido por um organismo do setor público um selo eletrónico com um nível de garantia de segurança superior ao dos selos eletrónicos qualificados.

6. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para a definição dos diferentes níveis de garantia de segurança dos selos eletrónicos, conforme referidos no n.º 4.

7. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos níveis de garantia de segurança dos selos eletrónicos. Um selo eletrónico conforme com essas normas beneficia da presunção de conformidade com o nível de garantia de segurança definido num ato delegado adotado nos termos do n.º 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Artigo 29.º

Requisitos aplicáveis aos certificados qualificados de selo eletrónico

1. Os certificados qualificados de selo eletrónico devem cumprir os requisitos estabelecidos no anexo III.

2. Os certificados qualificados de selo eletrónico não podem estar sujeitos a requisitos obrigatórios que excedam os requisitos estabelecidos no anexo III.

3. Um certificado qualificado de selo eletrónico que tenha sido revogado após a ativação inicial perde a validade, não podendo o seu estatuto ser, em nenhuma circunstância, revertido através da renovação da sua validade.

4. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para uma especificação mais detalhada dos requisitos estabelecidos no anexo III.

5. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de selo eletrónico. Um certificado qualificado de selo eletrónico que esteja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no anexo III. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Artigo 30.º

Dispositivos de criação de selo eletrónico qualificados

1. O artigo 22.º aplica-se mutatis mutandis aos requisitos exigidos para os dispositivos de criação de selo eletrónico qualificados.

2. O artigo 23.º aplica-se mutatis mutandis à certificação dos dispositivos de criação de selo eletrónico qualificados.

3. O artigo 24.º aplica-se mutatis mutandis à publicação da lista de dispositivos de criação de selo eletrónico qualificados certificados.

Artigo 31.º

Validação e preservação dos selos eletrónicos qualificados

Os artigos 25.º, 26.º e 27.º aplicam-se mutatis mutandis à validação e à preservação dos selos eletrónicos qualificados.

Secção 5

Carimbo eletrónico da hora

Artigo 32.º

Efeito legal dos carimbos eletrónicos da hora

1. A forma eletrónica de um carimbo da hora, por si só, não pode ser motivo para que lhe sejam negados efeitos legais e a admissibilidade enquanto prova em processos judiciais.

2. Um carimbo eletrónico da hora qualificado beneficia da presunção legal de garantir a hora que indica e a integridade dos dados aos quais está associado.

3. Um carimbo eletrónico da hora qualificado deve ser reconhecido e aceite em todos os Estados-Membros.

Artigo 33.º

Requisitos aplicáveis aos carimbos eletrónicos da hora qualificados

1. Um carimbo eletrónico da hora qualificado deve cumprir os seguintes requisitos:

(a) estar ligado com exatidão à Hora Universal Coordenada (UTC) de tal modo que torne impossível a alteração dos dados de forma não detetável;

(b) basear-se numa fonte horária precisa;

(c) ser emitido por um prestador de serviços de confiança qualificado;

(d) ser assinado utilizando uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador de serviços de confiança qualificado, ou por outro método equivalente.

2. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas à ligação exata da hora aos dados e a uma fonte horária precisa. Uma ligação exata da hora aos dados e uma fonte horária precisa que sejam conformes com essas normas beneficiam da presunção de conformidade com os requisitos estabelecidos no n.º 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Secção 6

Documentos eletrónicos

Artigo 34.º

Efeitos legais e aceitação dos documentos eletrónicos

1. Um documento eletrónico deve ser considerado equivalente a um documento em papel e admissível como prova em processos judiciais, tendo em conta o seu nível de garantia de autenticidade e integridade.

2. Um documento que ostente uma assinatura eletrónica qualificada ou um selo eletrónico qualificado da pessoa competente para emitir o documento beneficia de presunção legal de autenticidade e integridade desde que não contenha características dinâmicas capazes de o alterar automaticamente.

3. Quando se exija um documento original ou uma cópia certificada para a prestação de um serviço em linha oferecido por um organismo público, serão aceites noutros Estados-Membros sem requisitos adicionais pelo menos os documentos eletrónicos emitidos pelas pessoas competentes para emitir os documentos em causa e que são considerados originais ou cópias certificadas de acordo com a legislação nacional do Estado-Membro de origem.

4. A Comissão pode, através de atos de execução, definir formatos de assinaturas e selos eletrónicos que devem ser aceites sempre que um Estado-Membro exija, para a prestação de um serviço em linha oferecido por um organismo do setor público, um documento assinado ou selado do tipo a que se refere o n.º 2. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Secção 7

Serviço de entrega eletrónica qualificado

Artigo 35.º

Efeito legal de um serviço de entrega eletrónica

1. Os dados enviados ou recebidos com recurso a um serviço de entrega eletrónica são admissíveis como prova em processos judiciais no que respeita à integridade dos dados e à certeza da data e da hora em que foram enviados ou recebidos por um destinatário especificado.

2. Os dados enviados ou recebidos com recurso a um serviço de entrega eletrónica qualificado beneficiam de presunção legal de integridade dos dados e de exatidão da data e da hora de envio ou de receção dos dados indicadas pelo sistema de entrega eletrónica qualificado.

3. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para a especificação dos mecanismos de envio ou de receção dos dados com recurso a serviços de entrega eletrónica, que devem ser utilizados tendo em vista promover a interoperabilidade destes serviços.

Artigo 36.º

Requisitos aplicáveis aos serviços de entrega eletrónica qualificados

1. Os serviços de entrega eletrónica qualificados devem satisfazer os seguintes requisitos:

(a) devem ser prestados por um ou mais prestadores de serviços de confiança qualificados;

(b) devem permitir a identificação inequívoca do remetente e, se adequado, do destinatário;

(c) o processo de envio ou de receção dos dados deve ser securizado por uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador de serviços de confiança qualificado, de modo a tornar impossível a alteração dos dados de forma não detetável;

(d) qualquer alteração dos dados necessária para o seu envio ou receção deve ser claramente indicada ao remetente e ao destinatário dos mesmos;

(e) a data do envio e da receção, assim como as eventuais alterações dos dados, devem ser indicadas através de um carimbo eletrónico da hora qualificado;

(f) caso os dados sejam transferidos entre dois ou mais prestadores de serviços de confiança qualificados, os requisitos das alíneas a) a e) aplicam-se a todos eles.

2. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos processos de envio e receção de dados. O processo de envio e receção de dados que esteja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.º 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

Secção 8

Autenticação de sítios Web

Artigo 37.º

Requisitos aplicáveis aos certificados qualificados de autenticação de sítios Web

1. Os certificados qualificados de autenticação de sítios Web devem cumprir os requisitos estabelecidos no anexo IV.

2. Os certificados qualificados de autenticação de sítios Web devem ser reconhecidos e aceites em todos os Estados-Membros.

3. A Comissão tem poderes para adotar atos delegados, em conformidade com o artigo 38.º, para uma especificação mais detalhada dos requisitos estabelecidos no anexo IV.

4. A Comissão pode, através de atos de execução, estabelecer os números de referência das normas relativas aos certificados qualificados de autenticação de sítios Web. Um certificado qualificado de autenticação de sítio Web que esteja conforme com essas normas beneficia da presunção de conformidade com os requisitos estabelecidos no anexo IV. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2. A Comissão publica esses atos no Jornal Oficial da União Europeia.

CAPÍTULO IV

ATOS DELEGADOS

Artigo 38.º

Exercício da delegação

1. É conferido à Comissão o poder para adotar atos delegados nas condições estabelecidas no presente artigo.

2. O poder para adotar atos delegados referido nos artigos 8.º, n.º 3, 13.º, n.º 5, 15.º, n.º 5, 16.º, n.º 5, 18.º, n.º 5, 20.º, n.º 6, 21.º, n.º 4, 23.º, n.º 3, 25.º, n.º 2, 27.º, n.º 2, 28.º, n.º 6, 29.º, n.º 4, 30.º, n.º 2, 31.º, 35.º, n.º 3, e 37.º, n.º 3, é conferido à Comissão por um período de tempo indeterminado a partir da data de entrada em vigor do presente regulamento.

3. A delegação de poder referida nos artigos 8.º, n.º 3, 13.º, n.º 5, 15.º, n.º 5, 16.º, n.º 5, 18.º, n.º 5, 20.º, n.º 6, 21.º, n.º 4, 23.º, n.º 3, 25.º, n.º 2, 27.º, n.º 2, 28.º, n.º 6, 29.º, n.º 4, 30.º, n.º 2, 31.º, 35.º, n.º 3, e 37.º, n.º 3, pode ser revogada em qualquer altura pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. Essa decisão em nada prejudica a validade de eventuais atos delegados já em vigor.

4. Logo que adote um ato delegado, a Comissão notifica-o, simultaneamente, ao Parlamento Europeu e ao Conselho.

5. Um ato delegado adotado nos termos dos artigos 8.º, n.º 3, 13.º, n.º 5, 15.º, n.º 5, 16.º, n.º 5, 18.º, n.º 5, 20.º, n.º 6, 21.º, n.º 4, 23.º, n.º 3, 25.º, n.º 2, 27.º, n.º 2, 28.º, n.º 6, 29.º, n.º 4, 30.º, n.º 2, 31.º, 35.º, n.º 3, e 37.º, n.º 3, só pode entrar em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou se, antes do termo desse período, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não formularão objeções. O referido prazo é prorrogado por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

CAPÍTULO V

ATOS DE EXECUÇÃO

Artigo 39.º

Procedimento de comité

1. A Comissão é assistida por um comité. Esse comité é um comité na aceção do Regulamento (UE) n.º 182/2011.

2. Sempre que se faça referência ao presente número, é aplicável o artigo 5.º do Regulamento (UE) n.º 182/2011.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Artigo 40.º

Relatório

A Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a aplicação do presente regulamento. O primeiro relatório é apresentado o mais tardar quatro anos após a entrada em vigor do presente regulamento. Os relatórios subsequentes são apresentados com uma periodicidade de quatro anos.

Artigo 41.º

Revogação

1. A Diretiva 1999/93/CE é revogada.

2. As referências à diretiva revogada são consideradas referências ao presente regulamento.

3. Os dispositivos de criação de assinaturas seguros, cuja conformidade tenha sido determinada nos termos do artigo 3.º, n.º 4, da Diretiva 1999/93/CE, são considerados dispositivos de criação de assinaturas qualificados por força do presente regulamento.

4. Os certificados qualificados emitidos em conformidade com a Diretiva 1999/93/CE são considerados certificados qualificados para assinaturas eletrónicas por força do presente regulamento até caducarem, mas durante não mais do que cinco anos a contar da data de entrada em vigor do presente regulamento.

Artigo 42.º

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em

Pelo Parlamento Europeu                             Pelo Conselho

O Presidente                                                  O Presidente

ANEXO I

Requisitos aplicáveis aos certificados qualificados de assinaturas eletrónicas

Os certificados qualificados de assinaturas eletrónicas devem conter:

(a) uma indicação, pelo menos numa forma adequada ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;

(b) um conjunto de dados que representem inequivocamente o prestador de serviços de confiança qualificado que emitiu os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontra estabelecido e

– para uma pessoa coletiva: o nome e o número de registo conforme constam dos registos oficiais;

– para uma pessoa singular: o nome da pessoa;

(c) um conjunto de dados que representem inequivocamente o signatário para o qual o certificado é emitido, incluindo, pelo menos, o nome do signatário ou um pseudónimo, que deve ser identificado como tal;

(d) os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;

(e) informações sobre o início e o termo do prazo de validade do certificado;

(f) o código de identidade do certificado, que deve ser único para o prestador de serviços de confiança qualificado;

(g) a assinatura eletrónica avançada ou o selo eletrónico avançado do prestador de serviços de confiança qualificado emitente;

(h) o local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado referidos na alínea g);

(i) a localização dos serviços que conferem o estatuto de válido ao certificado e que podem ser utilizados para inquirir do estado de validade do certificado qualificado;

(j) se os dados para criação da assinatura eletrónica relacionados com os dados para validação da assinatura eletrónica estiverem localizados num dispositivo de criação de assinatura eletrónica qualificado, uma indicação adequada desse facto, pelo menos numa forma adequada para tratamento automático.

ANEXO II

Requisitos aplicáveis aos dispositivos de criação de assinaturas qualificados

1. Os dispositivos de criação de assinaturas eletrónicas qualificados devem assegurar, através de meios técnicos e procedimentais adequados, que pelo menos:

(a) a confidencialidade dos dados necessários para a criação de uma assinatura eletrónica utilizados para criar uma assinatura eletrónica está assegurada;

(b) os dados necessários para a criação de uma assinatura eletrónica utilizados para gerar uma assinatura eletrónica apenas possam ocorrer uma vez;

(c) os dados necessários para a criação de uma assinatura eletrónica utilizados para a geração de uma assinatura eletrónica não possam, com uma segurança razoável, ser deduzidos de outros dados e que a assinatura esteja protegida contra falsificações realizadas através de tecnologias atualmente disponíveis;

(d) os dados necessários para a criação de uma assinatura eletrónica utilizados para a geração de uma assinatura eletrónica possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

2. Os dispositivos de criação de assinaturas eletrónicas qualificados não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.

3. A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de uma assinatura eletrónica devem ser efetuadas por um prestador de serviços de confiança qualificado.

4. Os prestadores de serviços de confiança qualificados que gerem os dados necessários para a criação de uma assinatura eletrónica em nome do signatário podem duplicar esses dados para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:

(a) a segurança dos conjuntos de dados duplicados deve estar ao mesmo nível da dos conjuntos de dados originais;

(b) o número de conjuntos de dados duplicados não pode exceder o mínimo necessário para garantir a continuidade do serviço.

ANEXO III

Requisitos aplicáveis aos certificados qualificados de selos eletrónicos

Os certificados qualificados de selos eletrónicos devem conter:

(a) uma indicação, pelo menos numa forma adequada para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;

(b) um conjunto de dados que representem inequivocamente o prestador de serviços de confiança qualificado que emitiu os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontra estabelecido e

– para uma pessoa coletiva: o nome e o número de registo conforme constam dos registos oficiais;

– para uma pessoa singular: o nome da pessoa;

(c) um conjunto de dados que representem inequivocamente a pessoa coletiva para a qual o certificado é emitido, incluindo, pelo menos, o nome e o número de registo conforme constam dos registos oficiais;

(d) os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;

(e) informações sobre o início e o termo do prazo de validade do certificado;

(f) o código de identidade do certificado, que deve ser único para o prestador de serviços de confiança qualificado;

(g) a assinatura eletrónica avançada ou o selo eletrónico avançado do prestador de serviços de confiança qualificado emitente;

(h) o local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado referidos na alínea g);

(i) a localização dos serviços que conferem o estatuto de válido ao certificado e que podem ser utilizados para inquirir do estado de validade do certificado qualificado;

(j) se os dados para criação do selo eletrónico relacionados com os dados para validação do selo eletrónico estiverem localizados num dispositivo de criação de selo eletrónico qualificado, uma indicação adequada desse facto, pelo menos numa forma adequada ao tratamento automático.

ANEXO IV

Requisitos aplicáveis aos certificados qualificados de autenticação de sítios Web

Os certificados qualificados de autenticação de sítios Web devem conter:

(a) uma indicação, pelo menos numa forma adequada ao tratamento automático, de que o certificado foi emitido como certificado qualificado de autenticação de sítio Web;

(b) um conjunto de dados que representem inequivocamente o prestador de serviços de confiança qualificado que emitiu os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontra estabelecido e

– para uma pessoa coletiva: o nome e o número de registo conforme constam dos registos oficiais;

– para uma pessoa singular: o nome da pessoa;

(c) um conjunto de dados que representem inequivocamente a pessoa coletiva para a qual o certificado é emitido, incluindo, pelo menos, o nome e o número de registo conforme constam dos registos oficiais;

(d) elementos do endereço, incluindo, pelo menos, a cidade e o Estado-Membro, da pessoa coletiva para a qual o certificado é emitido, conforme constam dos registos oficiais;

(e) o nome ou os nomes de domínio explorados pela pessoa coletiva para a qual o certificado é emitido;

(f) informações sobre o início e o termo do prazo de validade do certificado;

(g) o código de identidade do certificado, que deve ser único para o prestador de serviços de confiança qualificado;

(h) a assinatura eletrónica avançada ou o selo eletrónico avançado do prestador de serviços de confiança qualificado emitente;

(i) o local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado referidos na alínea h);

(j) a localização dos serviços que conferem o estatuto de válido ao certificado e que podem ser utilizados para inquirir do estado de validade do certificado qualificado.

FICHA FINANCEIRA LEGISLATIVA

1.           CONTEXTO DA PROPOSTA/INICIATIVA

A presente ficha financeira especifica as necessidades em termos de despesa administrativa para dar execução ao regulamento proposto relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.

Após o processo legislativo e as discussões para a adoção pelo PE e pelo Conselho do regulamento proposto, a Comissão terá necessidade de doze equivalentes tempo inteiro (ETI) para conceber os atos delegados e de execução correspondentes, para garantir a disponibilidade de normas organizacionais e técnicas, para tratar as informações notificadas pelos Estados-Membros, e nomeadamente para manter atualizadas as informações ligadas às listas de confiança, para sensibilizar as partes interessadas – em particular os cidadãos e as PME – para as vantagens da utilização da identificação, da autenticação e das assinaturas eletrónicas e dos serviços de confiança conexos (eIAS) e para travar discussões com países terceiros tendo em vista assegurar a interoperabilidade dos eIAS a nível mundial.

1.1.        Denominação da proposta/iniciativa

Proposta da Comissão de um regulamento relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno

1.2.        Domínio(s) de intervenção envolvido(s) de acordo com a estrutura ABM/ABB[25]

09 SOCIEDADE DA INFORMAÇÃO

1.3.        Natureza da proposta/iniciativa

¨ A proposta/iniciativa refere-se a uma nova ação

¨ A proposta/iniciativa refere-se a uma nova ação na sequência de um projeto-piloto/ação preparatória[26]

¨ A proposta/iniciativa refere-se à prorrogação de uma ação existente

þ A proposta/iniciativa refere-se a uma ação reorientada para uma nova ação

1.4.        Objetivos

1.4.1.     Objetivo(s) estratégico(s) plurianual(is) da Comissão visado(s) pela proposta/iniciativa

Os objetivos gerais da proposta são os das políticas gerais da UE nas quais a proposta se insere, tais como a Estratégia UE 2020. A estratégia UE 2020 visa transformar a UE numa «economia inteligente, sustentável e inclusiva, que proporcione níveis elevados de emprego, de produtividade e de coesão social».

1.4.2.     Objetivo(s) específico(s) e atividade(s) ABM/ABB em causa

Reforçar a confiança nas transações eletrónicas pan-europeias e garantir o reconhecimento legal transfronteiras da identificação, da autenticação e das assinaturas eletrónicas e dos serviços de confiança conexos, assim como um elevado nível de proteção dos dados e de autonomia dos utilizadores no mercado único (ver Agenda Digital para a Europa, ações-chave 3 e 16).

Atividade(s) ABM/ABB em causa

09 02 - Quadro regulamentar da Agenda Digital para a Europa

1.4.3.     Resultados e impacto esperados

Especificar os efeitos que a proposta/iniciativa poderá ter nos beneficiários/na população visada

A proposta estabelecerá um ambiente regulamentar claro para os serviços eIAA que facilitará a tarefa para os utilizadores e promoverá a confiança no mundo digital.

1.4.4.     Indicadores de resultados e de impacto

Especificar os indicadores que permitem acompanhar a execução da proposta/iniciativa.

1. Existência de fornecedores de eIAS que exercem atividades em vários Estados-Membros da UE;

2. Grau de interoperabilidade atingido pelos dispositivos (por exemplo, leitores de cartões) entre setores e países;

3. Utilização dos eIAS por todas as categorias de população;

4. O grau de utilização dos eIAS pelos utilizadores finais para transações nacionais e internacionais (entre Estados-Membros);

5. Grau de harmonização da legislação sobre os eIAS nos diversos Estados-Membros;

6. Sistemas de identificação eletrónica notificados à Comissão;

7. Serviços do setor público acessíveis através de meios de identificação eletrónica notificados (por exemplo, administração pública em linha, saúde em linha, justiça em linha, contratos públicos eletrónicos);

8. Serviços do setor privado acessíveis através de meios de identificação eletrónica notificados (por exemplo, serviços bancários em linha, comércio eletrónico, jogos de azar em linha, acesso a sítios Web, serviços de Internet mais segura).

1.5.        Justificação da proposta/iniciativa

1.5.1.     Necessidade(s) a satisfazer a curto ou a longo prazo

As divergências na aplicação da diretiva relativa às assinaturas eletrónicas ao nível nacional devido às diferentes interpretações da mesma pelos Estados-Membros causam problemas de interoperabilidade transfronteiras, acabando por criar uma paisagem segmentada na UE e distorções no mercado interno. A essas divergências há que juntar a falta de confiança nos sistemas eletrónicos, que impede os cidadãos europeus de beneficiarem, no mundo digital, do mesmo tipo de serviços que no mundo físico.

1.5.2.     Valor acrescentado da participação da UE

Uma ação a nível da UE terá vantagens nítidas em relação às ações individuais dos Estados-Membros. A experiência mostra, na verdade, que as medidas nacionais não só são insuficientes para tornar as transações eletrónicas possíveis a nível transfronteiras, como criam, pelo contrário, barreiras à interoperabilidade das assinaturas eletrónicas em toda a UE, efeito esse que atualmente se faz sentir também a nível da identificação e da autenticação eletrónicas e dos serviços de confiança conexos.

1.5.3.     Lições tiradas de experiências anteriores semelhantes

A presente proposta baseia-se na experiência adquirida com a Diretiva «Assinaturas Eletrónicas» e tem em conta os problemas suscitados pela transposição e a aplicação fragmentadas dessa diretiva, que impediram que os seus objetivos fossem atingidos.

1.5.4.     Coerência e eventual sinergia com outros instrumentos relevantes

A Diretiva «Assinaturas Eletrónicas» é referenciada por várias outras iniciativas da UE cujo objetivo é eliminar os problemas de interoperabilidade e de reconhecimento e aceitação transfronteiras ligados a certos tipos de interações eletrónicas, nomeadamente a Diretiva «Serviços», as diretivas relativas aos contratos públicos, a Diretiva (na última versão revista) relativa ao IVA (faturas eletrónicas) ou o Regulamento relativo à Iniciativa Europeia de Cidadania.

Além disso, o regulamento proposto oferecerá um quadro legal propício à adoção generalizada dos projetos-piloto de grande escala que foram implantados a nível da UE para apoiar o desenvolvimento de meios de comunicação eletrónica interoperáveis e fiáveis (nomeadamente a iniciativa SPOCS, que apoia a implementação da Diretiva «Serviços», o projeto STORK, que apoia o desenvolvimento e a utilização de sistemas de identificação eletrónica interoperáveis, o projeto PEPPOL, que apoia o desenvolvimento e a utilização de soluções interoperáveis em matéria de contratos públicos eletrónicos, o projeto epSOS, que apoia o desenvolvimento e a utilização de soluções interoperáveis em matéria de saúde em linha, e o projeto eCodex, que apoia o desenvolvimento e a utilização de soluções interoperáveis em matéria de justiça em linha).

1.6.        Duração da ação e do seu impacto financeiro

¨ Proposta/iniciativa de duração limitada

– ¨  Proposta/iniciativa válida entre [DD/MM]AAAA e [DD/MM]AAAA

– ¨  Impacto financeiro no período compreendido entre AAAA e AAAA

þ Proposta/iniciativa de duração ilimitada

1.7.        Modalidade(s) de gestão prevista(s)[27]

þ Gestão centralizada direta por parte da Comissão

¨ Gestão centralizada indireta por delegação de funções de execução em:

– ¨  agências de execução

– ¨  organismos criados pelas Comunidades[28]

– ¨  organismos públicos nacionais/organismos com missão de serviço público

– ¨  pessoas encarregadas da execução de ações específicas por força do Título V do Tratado da União Europeia, identificadas no ato de base pertinente na aceção do artigo 49.º do Regulamento Financeiro

¨ Gestão partilhada com os Estados-Membros

¨ Gestão descentralizada com países terceiros

¨ Gestão conjunta com organizações internacionais (a especificar)

Se for indicada mais de uma modalidade de gestão, especificar na secção «Observações».

Observações:

[//]

2.           MEDIDAS DE GESTÃO

2.1.        Disposições em matéria de acompanhamento e prestação de informações

Especificar a periodicidade e as condições.

A primeira avaliação terá lugar quatro anos após a entrada em vigor do regulamento. O regulamento inclui um artigo específico intitulado “Relatório”, que obriga a Comissão a apresentar ao Parlamento Europeu e ao Conselho um relatório sobre a sua aplicação. Os relatórios subsequentes devem ser apresentados com uma periodicidade de quatro anos. A Comissão aplicará os seus métodos de avaliação. Estas avaliações devem ser efetuadas com a ajuda de estudos específicos relativos à execução dos instrumentos legais, questionários às autoridades nacionais, debates com especialistas, sessões de trabalho, inquéritos Eurobarómetro, entre outros.

2.2.        Sistema de gestão e de controlo

2.2.1.     Risco(s) identificado(s)

A proposta de regulamento é acompanhada de uma avaliação de impacto. O novo instrumento legal assegurará o reconhecimento e a aceitação mútuos da identificação eletrónica a nível transfronteiras, melhorará o atual quadro das assinaturas eletrónicas, reforçando a supervisão nacional dos prestadores de serviços de confiança, e conferirá efeitos legais e reconhecimento legal aos serviços de confiança conexos. Além disso, prevê o recurso a atos delegados e de execução como mecanismo para garantir flexibilidade perante a evolução tecnológica.

2.2.2.     Meios de controlo previstos

Os meios de controlo existentes aplicados pela Comissão cobrirão as dotações adicionais.

2.3.        Medidas de prevenção de fraudes e irregularidades

Especificar as medidas de prevenção e de proteção existentes ou previstas.

Os meios de prevenção da fraude existentes aplicados pela Comissão cobrirão as dotações adicionais.

3.           IMPACTO FINANCEIRO ESTIMADO DA PROPOSTA/INICIATIVA

3.1.        Rubrica(s) do quadro financeiro plurianual e rubrica(s) orçamental(is) de despesas envolvida(s)

· Atuais rubricas orçamentais de despesas

Segundo a ordem das rubricas do quadro financeiro plurianual e das respetivas rubricas orçamentais.

Rubrica do quadro financeiro plurianual || Rubrica orçamental || Natureza das despesas || Participação

Número [Designação…...….] || DD/DND ([29]) || dos países da EFTA[30] || de países candidatos[31] || de países terceiros || na aceção do artigo 18.º, n.º 1, alínea a-a), do Regulamento Financeiro

5 || 09. 01 01 01 Despesas com pessoal no ativo na DG «Sociedade da Informação e Media» || DND || NÃO || NÃO || NÃO || NÃO

5 || 09. 01 02 01 Pessoal externo || DND || NÃO || NÃO || NÃO || NÃO

3.2.        Impacto estimado nas despesas

3.2.1.     Síntese do impacto estimado nas despesas

Rubrica do quadro financeiro plurianual: || Número || [Rubrica 1. - Crescimento inteligente e inclusivo ……………...……………………………………………………………….]

DG: INFSO || || || Ano 2014 || Ano  2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020 || TOTAL

Ÿ Dotações operacionais || || || || || || || ||

Número da rubrica orçamental – N.A. || Autorizações || (1) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0.000

Pagamentos || (2) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0.000

Número da rubrica orçamental – N.A. || Autorizações || (1a) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0.000

Pagamentos || (2a) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0.000

Dotações de natureza administrativa financiadas  a partir da dotação para programas específicos[32] || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Número da rubrica orçamental || || (3) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0.000

TOTAL das dotações para a DG INFSO || Autorizações || =1+1a +3 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0.000

Pagamentos || =2+2a +3 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0.000

Rubrica do quadro financeiro plurianual: || 5 || «Despesas administrativas»

Em milhões de euros (3 casas decimais)

|| || || Ano 2014 || Ano 2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020 || TOTAL

DG: INFSO

Ÿ Recursos humanos || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Ÿ Outras despesas de natureza administrativa || || || || || || || ||

TOTAL DG INFSO || Dotações || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

TOTAL das dotações no âmbito da RUBRICA 5 do quadro financeiro plurianual || (Total das autorizações = Total dos pagamentos) || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Em milhões de euros (3 casas decimais)

|| || || Ano 2014 || Ano 2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020 || TOTAL

TOTAL das dotações no âmbito das RUBRICAS 1 a 5 do quadro financeiro plurianual || Autorizações || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Pagamentos || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.2.     Impacto estimado nas dotações operacionais

– þ  A proposta/iniciativa não acarreta a utilização de dotações operacionais

– ¨  A proposta/iniciativa acarreta a utilização de dotações operacionais, tal como explicitado seguidamente:

3.2.3.     Impacto estimado nas dotações de natureza administrativa

3.2.3.1.  Síntese

– ¨  A proposta/iniciativa não acarreta a utilização de dotações de natureza administrativa

– þ  A proposta/iniciativa acarreta a utilização de dotações de natureza administrativa, tal como explicitado seguidamente:

Em milhões de euros (3 casas decimais)

|| Ano N 2014 || Ano 2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020 || TOTAL

RUBRICA 5 do quadro financeiro plurianual || || || || || || || ||

Recursos humanos || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Outras despesas de natureza administrativa || || || || || || || ||

Subtotal RUBRICA 5 do quadro financeiro plurianual || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Com exclusão da RUBRICA 5[33] do quadro financeiro plurianual || || || || || || || ||

Recursos humanos || || || || || || || ||

Outras despesas de natureza administrativa || || || || || || || ||

Subtotal com exclusão da RUBRICA 5 do quadro financeiro plurianual || || || || || || || ||

TOTAL || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.3.2.  Necessidades estimadas de recursos humanos

– ¨  A proposta/iniciativa não acarreta a utilização de recursos humanos

– þ  A proposta/iniciativa acarreta a utilização de recursos humanos, tal como explicitado seguidamente:

As estimativas devem ser expressas em números inteiros (ou, no máximo, com uma casa decimal)

|| Ano 2014 || Ano 2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020

Ÿ Lugares do quadro do pessoal (postos de funcionários e de agentes temporários)

09 01 01 01 (na sede e nos gabinetes de representação da Comissão) || 9 || 9 || 9 || 9 || 9 || 9 || 9

XX 01 01 02 (nas delegações) || || || || || || ||

XX 01 05 01 (investigação indireta) || || || || || || ||

10 01 05 01 (Investigação direta) || || || || || || ||

Ÿ Pessoal externo (em equivalente a tempo inteiro: ETI)[34]

09 01 02 01 (AC, TT, PND da dotação global) || 3 || 3 || 3 || 3 || 3 || 3 || 3

XX 01 02 02 (AC, TT, JPD, AL e PND nas delegações) || || || || || || ||

XX 01 04 yy[35] || - na sede[36] || || || || || || ||

- nas delegações || || || || || || ||

XX 01 05 02 (AC, TT, PND - Investigação indireta) || || || || || || ||

10 01 05 02 (AC, TT, PND - Investigação direta) || || || || || || ||

Outra rubrica orçamental (especificar) || || || || || || ||

TOTAL || 12 || 12 || 12 || 12 || 12 || 12 || 12

As necessidades de recursos humanos serão cobertas pelos efetivos da DG já afetados à gestão da ação e/ou reafetados internamente a nível da DG, complementados, caso necessário, por eventuais dotações adicionais que sejam atribuídas à DG gestora no quadro do processo anual de atribuição e no limite das disponibilidades orçamentais.

Descrição das tarefas a executar:

Funcionários e agentes temporários || Gerir os processos legislativos para a adoção pelo PE e pelo Conselho do regulamento previsto e dos atos delegados/de execução com ele relacionados. Domínios prioritários: 1.    Estabelecimento de um novo quadro legislativo para os serviços eletrónicos de confiança 2.    Promoção da aceitação dos serviços eletrónicos de confiança através da sensibilização das PME e dos cidadãos para o seu potencial 3.    Acompanhamento da Diretiva 1999/93/CE, incluindo os aspetos internacionais 4.    Potenciar os projetos-piloto de grande escala a fim de acelerar a realização concreta do objetivo do novo quadro legislativo.

Pessoal externo || Idem (como acima)

3.2.4.     Compatibilidade com o atual quadro financeiro plurianual

– þ  A proposta/iniciativa é compatível com o atual quadro financeiro plurianual

– ¨  A proposta/iniciativa requer uma reprogramação da rubrica pertinente do quadro financeiro plurianual

Explicitar a reprogramação necessária, especificando as rubricas orçamentais em causa e as quantias correspondentes.

– ¨  A proposta/iniciativa requer a mobilização do Instrumento de Flexibilidade ou a revisão do quadro financeiro plurianual[37].

Explicitar as necessidades, especificando as rubricas orçamentais em causa e as quantias correspondentes.

3.2.5.     Participação de terceiros no financiamento

– þ A proposta/iniciativa não prevê o cofinanciamento por terceiros

– ¨ A proposta/iniciativa prevê o cofinanciamento estimado seguinte:

3.3.      Impacto estimado nas receitas

– þ  A proposta/iniciativa não tem impacto financeiro nas receitas

– ¨  A proposta/iniciativa tem o impacto financeiro a seguir descrito:

· ¨            nos recursos próprios

· ¨            nas receitas diversas

[1]               COM(2010) 245 de 19.5.2010.

[2]               COM (2011) 206 final de 13.4.2011.

[3]               COM(2011) 669 de 12.10.2011.

[4]               JO L 13 de 19.1.2000, p. 12.

[5]               Para pormenores sobre as consultas, ver http://ec.europa.eu/information_society/policy/esignature/eu_legislation/revision.

[6]               Em 10 de março de 2011, realizou-se uma workshop de partes interessadas na qual estiveram presentes representantes dos setores público e privado e do mundo académico para discutir quais as medidas legislativas necessárias para responder aos futuros desafios. Tratou-se de um fórum interativo para trocar pontos vista e marcar as diferentes posições sobre as questões suscitadas na consulta pública. Várias organizações enviaram espontaneamente documentos de posição.

[7]               Em particular, a presidência polaca da UE organizou em Varsóvia, em 9 de novembro de 2011, uma reunião com os Estados-Membros sobre assinatura eletrónica e outra em Poznan, em 17 do mesmo mês, sobre identificação eletrónica. Em 25 de janeiro de 2012, a Comissão convocou os Estados-Membros para uma workshop onde se discutiram as restantes questões associadas à identificação, autenticação e assinatura eletrónicas.

[8]               No primeiro conjunto, foram examinadas quatro opções: revogar a Diretiva relativa às assinaturas eletrónicas; nenhuma mudança; reforçar a segurança jurídica, impulsionar a coordenação da supervisão nacional e assegurar o reconhecimento e a aceitação mútuos da identificação eletrónica em toda a UE e, quarta, a extensão do âmbito a certos serviços de confiança conexos. O segundo conjunto consistiu em avaliar os méritos relativos de uma possível regulamentação através de um ou dois instrumentos e através de uma diretiva versus um regulamento. O terceiro conjunto examinou as possibilidades oferecidas pela aplicação de regimes de supervisão nacionais baseados em requisitos de supervisão comuns essenciais por oposição a um sistema de supervisão da UE. Cada opção política foi avaliada, com a ajuda de um grupo constituído por todas as direções-gerais da Comissão interessadas, em termos de eficácia na consecução dos objetivos políticos, impacto económico nas partes interessadas (nomeadamente no orçamento das instituições da UE), impacto social e ambiental e correspondente ónus administrativo.

[9]               Comunicação da Comissão: Europa 2020 – estratégia para um crescimento inteligente, sustentável e inclusivo – COM(2010) 2020 de 3.3.2010.

[10]             A lista de confiança (ou «lista aprovada», nos termos da decisão) estabelecida pela Decisão 2009/767/CE da Comissão, com a redação que lhe foi dada pela Decisão 2010/425/UE da Comissão, será a base de uma nova decisão da Comissão relativa às listas de confiança previstas pelo presente regulamento.

[11]             JO C , p. .

[12]             JO C , p. .

[13]             JO L 13 de 19.1.2000, p. 12.

[14]             COM(2010) 245 final/2.

[15]             Relatório de 2010 sobre a Cidadania da União: Eliminar os obstáculos ao exercício dos direitos dos cidadãos da UE, COM(2010) 603 final, ponto 2.2.2, p. 13.

[16]             4/2/2011: EUCO 2/1/11

[17]             23/10/2011: EUCO 52/1/11

[18]             Conclusões do Conselho sobre o plano de ação europeu para a administração pública em linha 2011–2015, 3093.ª reunião do Conselho Transportes, Telecomunicações e Energia, Bruxelas, 27 de maio de 2011.

[19]             Resolução do Parlamento Europeu de 21.9.2010 sobre a realização do mercado interno do comércio eletrónico, P7_TA(2010)0320, e Resolução do Parlamento Europeu de 15.6.2010 sobre o governo da Internet: as próximas etapas, P7_TA(2010)0208.

[20]             JO L 376 de 27.12.2006, p. 36.

[21]             JO L 88 de 4.4.2011, p. 45.

[22]             JO L 281 de 23.11.1995, p. 31.

[23]             JO L 274 de 20.10.2009, p. 36.

[24]             JO L 55 de 28.2.2011, p. 13.

[25]             ABM: Activity Based Management (gestão por atividades) – ABB: Activity Based Budgeting (orçamentação por atividades).

[26]             Referidos no artigo 49.º, n.º 6, alíneas a) e b), do Regulamento Financeiro.

[27]             As explicações sobre as modalidades de gestão e as referências ao Regulamento Financeiro estão disponíveis no sítio BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[28]             Referidos no artigo 185.º do Regulamento Financeiro.

[29]             DD = dotações diferenciadas/DND = dotações não diferenciadas.

[30]             EFTA: Associação Europeia de Comércio Livre.

[31]             Países candidatos e, se for o caso, potenciais países candidatos dos Balcãs Ocidentais.

[32]             Assistência técnica e/ou administrativa e despesas de apoio à execução de programas e/ou ações da UE (antigas rubricas «BA»), bem como investigação direta e indireta.

[33]             Assistência técnica e/ou administrativa e despesas de apoio à execução de programas e/ou ações da UE (antigas rubricas «BA»), bem como investigação direta e indireta.

[34]             AC = Agente Contratual; TT = trabalhador temporário; JPD= jovem perito nas delegações; AL= Agente Local; PND = perito nacional destacado.

[35]             Dentro do limite para o pessoal externo previsto nas dotações operacionais (antigas rubricas «BA»).

[36]             Essencialmente os fundos estruturais, o Fundo Europeu Agrícola de Desenvolvimento Rural (FEADER) e o Fundo Europeu das Pescas (FEP).

[37]             Ver pontos 19 e 24 do Acordo Interinstitucional.