Serviços de confiança
Nos termos do Regulamento Identidade Digital Europeia, a definição de serviços de confiança é mais ampla do que no Regulamento eIDAS original. São abrangidos os seguintes serviços de confiança:
Certificados de assinaturas eletrónicas, certificados de selos eletrónicos, certificados de autenticação de sítios Web ou certificados para a prestação de outros serviços de confiança
O Regulamento Identidade Digital Europeia mantém o quadro jurídico para os certificados, em especial vários certificados adaptados a finalidades específicas. Estes incluem certificados para assinaturas eletrónicas, selos eletrónicos, autenticação de sítios Web e prestação de outros serviços de confiança. Um certificado é definido como um certificado eletrónico da identidade da pessoa a quem é emitido e serve de prova para facilitar determinadas ações. Mantém-se a diferenciação entre certificados qualificados e não qualificados, que depende do estatuto do prestador de serviços de confiança e do nível de fiabilidade das informações certificadas. Por último, o único aditamento no que diz respeito aos certificados é a capacidade de solicitar e armazenar esses certificados nacarteira europeiade identidade digital, independentemente do tipo de certificado.
Assinaturas eletrónicas
O Regulamento Identidade Digital Europeia mantém o quadro jurídico para a emissão e utilização de assinaturas eletrónicas por pessoas singulares para assinar um documento ou dados. Mantém-se a distinção entre assinaturas eletrónicas, assinaturas eletrónicas avançadas e assinaturas eletrónicas qualificadas, tendo estas últimas o mesmo efeito jurídico que as assinaturas manuscritas em toda a União. O novo Regulamento Identidade Digital Europeia tornará gratuita a utilização de assinaturas eletrónicas qualificadas por todas as pessoas singulares para fins não profissionais quando criadas através da carteira europeia de identidade digital.
Selos eletrónicos
O Regulamento Identidade Digital Europeia não altera a definição de selos eletrónicos nem a sua criação, validação ou preservação. Os selos eletrónicos devem ser emitidos, criados e utilizados por pessoas coletivas para garantir a origem e a integridade dos dados/documentos. O regulamento mantém igualmente a distinção entre selos eletrónicos, selos eletrónicos avançados e selos eletrónicos qualificados.
Atestados Eletrónicos de Atributos
O Regulamento Identidade Digital Europeia introduziu a emissão de certificados eletrónicos de atributos (EAA) como um novo serviço de confiança. A EAAS é definida como um certificado em formato eletrónico que permite a autenticação de atributos. Nos termos do artigo 45.o-B, n.o 1, não podem ser negados efeitos jurídicos ou admissibilidade como prova em processos judiciais a estas certidões pelo simples facto de se encontrarem em formato eletrónico. Embora estes serviços de confiança possam ser qualificados ou não qualificados, em função do estatuto do prestador de serviços de confiança, as EAA não qualificadas devem continuar a ser admitidas e reconhecidas em processos judiciais, embora o reconhecimento transfronteiriço não lhes seja obrigatório. As CEA podem também ser emitidas por um organismo do setor público responsável por uma fonte autêntica ou por uma organização que atue em seu nome. Os utilizadores poderão utilizar as suas carteiras europeias de identidade digital para receber, validar e partilhar as suas CEA.
Carimbos eletrónicos da hora
O Regulamento Identidade Digital Europeia não altera as disposições relativas aos selos temporais eletrónicos. A sua emissão visa assegurar a exatidão do tempo associado aos dados/documentos. O Regulamento Identidade Digital Europeia não altera as disposições que regulam os serviços de confiança que asseguram a sua criação (incluindo a nível qualificado) e a sua validação.
Autenticação de sítios Web
A autenticação de sítios Web já estava prevista no Regulamento (UE) n.o910/2014 (Regulamento eIDAS). Em conformidade com o regulamento revisto, um certificado qualificado de autenticação de sítios Web (QWAC) é emitido a uma pessoa singular ou coletiva e permite autenticar um sítio Web e associar o sítio Web à identidade da pessoa a quem o certificado é emitido. O regulamento exige que os navegadores Web reconheçam um QWAC e apresentem os dados de identificação do proprietário do sítio Web de forma convivial. Os certificados podem ser qualificados ou não qualificados e a utilização desses certificados por sítios Web deve ser voluntária.
Arquivo eletrónico
O Regulamento Identidade Digital Europeia introduziu o arquivo eletrónico de dados e documentos eletrónicos como serviço de confiança, que se refere a assegurar a receção, o armazenamento, a recuperação e o apagamento de dados e documentos eletrónicos. Podem ser qualificados ou não qualificados, quando prestados por um prestador de serviços de confiança qualificado ou não qualificado, respetivamente.
Dispositivos de criação de assinaturas/selos
O Regulamento Identidade Digital Europeia introduziu um serviço de confiança qualificado para a gestão de dispositivos qualificados de criação de assinaturas/selos eletrónicos à distância em nome dos utilizadores. No Regulamento (UE) n.o 910/2014, a gestão desses dispositivos qualificados à distância não foi classificada como um serviço de confiança distinto.
Livros eletrónicos
O Regulamento Identidade Digital Europeia introduz o registo de dados eletrónicos em livros-razão eletrónicos como serviço de confiança. Os livros-razão eletrónicos são definidos como serviços que oferecem uma ordenação cronológica sequencial dos registos de dados, garantindo a integridade e exatidão tanto dos próprios registos como da sua ordem cronológica. Podem distinguir-se duas tipologias de livros-razão eletrónicos: centralizadas e distribuídas. O regulamento adota uma posição neutra em relação a essa tipologia ou mesmo à tecnologia utilizada. Além disso, os livros-razão eletrónicos podem ser qualificados ou não qualificados. De um modo geral, o objetivo é que os livros-razão eletrónicos, em conjugação com outras tecnologias, contribuam para soluções para serviços públicos mais eficientes e transformadores.
Serviço de envio registado eletrónico
O Regulamento Identidade Digital Europeia mantém os serviços de envio registado eletrónico como serviços de confiança. Estes serviços proporcionam um canal seguro para a transmissão de documentos, incluindo a prova de envio e receção dos dados. Garantem total certeza na identificação do destinatário e mantêm um elevado nível de confiança na identificação do remetente. Podem ser qualificados ou não qualificados, ao passo que apenas os serviços qualificados de envio registado eletrónico beneficiam de um reconhecimento a nível da UE.
De um ponto de vista jurídico, tanto os serviços de confiança qualificados como os não qualificados beneficiam de uma cláusula de não discriminação como prova nos tribunais. Por outras palavras, os serviços de confiança não podem ser descartados em processos judiciais apenas por se encontrarem em formato eletrónico ou por não serem qualificados.
No entanto, devido aos requisitos mais rigorosos aplicáveis aos prestadores qualificados de serviços de confiança, os serviços de confiança qualificados proporcionam um efeito jurídico específico mais forte do que os não qualificados, bem como uma maior segurança técnica: Uma assinatura eletrónica qualificada tem o efeito legal equivalente a uma assinatura manuscrita. Os selos eletrónicos qualificados gozam da presunção de integridade dos dados e de exatidão da origem dos dados a que o selo eletrónico qualificado está ligado. Os certificados eletrónicos qualificados de atributos e os certificados de atributos emitidos por, ou em nome de, um organismo do setor público responsável por uma fonte autêntica têm os mesmos efeitos jurídicos que os certificados legalmente emitidos em papel. Por conseguinte, os serviços de confiança qualificados proporcionam uma maior segurança jurídica e uma maior segurança das transações eletrónicas.
Não há alterações no que diz respeito ao efeito jurídico concedido às assinaturas eletrónicas do eIDAS original para o Regulamento Identidade Digital Europeia. O que vai mudar é a disponibilidade e facilidade para todos criarem assinaturas eletrónicas qualificadas. Uma vez integradas numa carteira europeia de identidade digital, todas as pessoas singulares terão a possibilidade de assinar, por defeito, com uma assinatura eletrónica qualificada através de uma carteira europeia de identidade digital, a título gratuito, para fins não profissionais.
O Regulamento (UE) n.o 910/2014 (Regulamento eIDAS) introduziu inicialmente a utilização de selos eletrónicos por entidades jurídicas e esta disposição mantém-se inalterada no regulamento alterado. À semelhança das pessoas singulares, as entidades jurídicas também terão acesso à funcionalidade de selagem eletrónica de documentos através da utilização da sua carteira europeia de identidade digital. No entanto, os fornecedores de carteiras europeias de identidade digital ou os Estados-Membros não são obrigados a oferecer gratuitamente essas funcionalidades a entidades jurídicas e/ou a casos de utilização profissional.
O Regulamento Identidade Digital Europeia mantém o princípio da não discriminação dos documentos eletrónicos, estabelecendo que não lhes podem ser negados efeitos jurídicos ou admissibilidade pelo simples facto de se encontrarem em formato eletrónico. Além disso, não deve ser feita qualquer distinção entre dados eletrónicos, documentos eletrónicos criados em formato eletrónico e documentos físicos que tenham sido digitalizados. Por último, tirando partido do arquivo eletrónico enquanto serviço de confiança, o regulamento estabelece um quadro que facilita a durabilidade e a legibilidade dos documentos eletrónicos, bem como a preservação da sua integridade, confidencialidade e prova de origem ao longo de todo o período de conservação.
Quanto aos efeitos jurídicos, as disposições do Regulamento eIDAS que estipulavam que uma assinatura ou selo eletrónico qualificado baseado num certificado qualificado emitido num Estado-Membro deve ser reconhecido como assinatura ou selo eletrónico qualificado, respetivamente, em todos os outros Estados-Membros, foram mantidas no Regulamento Identidade Digital Europeia (EUDI).
No prazo de 12 meses a contar da data de entrada em vigor do Regulamento EUDI, a Comissão estabelecerá, por meio de atos de execução, uma lista de normas de referência, especificações e procedimentos, se necessário, para os certificados qualificados de assinatura eletrónica. Por conseguinte, os prestadores qualificados de serviços de confiança, responsáveis pela emissão ou validação de certificados qualificados de assinatura eletrónica, serão obrigados a aderir a estas normas e procedimentos especificados. Os certificados qualificados de assinatura eletrónica emitidos antes da data de entrada em vigor desses atos de execução permanecem válidos até ao termo da sua validade ou revogação, consoante o que ocorrer primeiro.
No prazo de 12 meses a contar da data de entrada em vigor do Regulamento EUDI, a Comissão estabelecerá, por meio de atos de execução, uma lista de normas de referência, especificações e procedimentos, se necessário, para os certificados qualificados de selos eletrónicos. Por conseguinte, os prestadores qualificados de serviços de confiança, responsáveis pela emissão ou validação de certificados de selos eletrónicos qualificados, serão obrigados a aderir a estas normas e procedimentos especificados. Os certificados qualificados de selos eletrónicos emitidos antes da data de entrada em vigor desses atos de execução permanecem válidos até ao termo da sua validade ou revogação, consoante o que ocorrer primeiro.
Prestadores de serviços de confiança
- Se um prestador de serviços de confiança pretender prestar um serviço de confiança qualificado, deve primeiro solicitar uma avaliação a um organismo de avaliação da conformidade acreditado (CAB). O CAB deve confirmar que o candidato a prestador qualificado de serviços de confiança e o serviço de confiança qualificado que tenciona prestar cumprem os requisitos estabelecidos no Regulamento Europeu Identidade Digital e no artigo 21.o da Diretiva SRI 2 (UE) 2022/2555. Este processo é comumente referido como uma "auditoria".
- Depois de obter o relatório, o prestador de serviços de viagem deve apresentar um pedido à entidade supervisora do país em que está estabelecido, juntamente com o relatório do organismo de avaliação da conformidade que confirma a conformidade. A entidade supervisora deve verificar esta alegada conformidade no prazo de três meses. Se a entidade supervisora demorar mais tempo do que o previsto a verificar, o prestador de serviços de viagem será informado desse atraso no prazo de três meses a contar da apresentação, explicando os motivos do atraso e fornecendo um calendário atualizado.
- Uma vez concluída a verificação de forma positiva, a entidade supervisora concederá o estatuto de qualificado. Seguidamente, será atualizada a lista nacional de confiança de prestadores qualificados de serviços de confiança. Só depois de o organismo responsável o ter acrescentado à lista é que o QTSP poderá começar a oferecer o seu serviço de confiança qualificado. Os serviços de confiança qualificados oferecidos beneficiarão de um reconhecimento transfronteiras à escala da UE.
Os serviços de confiança qualificados são submetidos a uma avaliação da conformidade de 24 em 24 meses. Um organismo de avaliação da conformidade auditará o QTSP e o serviço de confiança qualificado prestado. Se continuar a cumprir os requisitos estabelecidos no Regulamento Identidade Digital Europeia, será emitido um relatório ao QTSP. Após a receção, o QTSP dispõe de três dias úteis a contar da data de receção para apresentar o relatório à entidade supervisora. Após verificação positiva pela entidade supervisora, mantém-se o estatuto de qualificado. No entanto, a entidade supervisora reserva-se o direito de solicitar provas adicionais ou realizar avaliações adicionais a qualquer momento, conforme necessário.
Sempre que um QTSP planeie uma auditoria, deve informar a entidade supervisora com, pelo menos, um mês de antecedência. Além disso, a entidade supervisora tem o direito de participar na auditoria com o organismo de avaliação da conformidade, se a entidade supervisora assim o desejar.
Entre duas auditorias regulares, a entidade supervisora pode, a qualquer momento, auditar ou solicitar a um organismo de avaliação da conformidade que efetue uma avaliação da conformidade, a fim de confirmar o estatuto de qualificado dos serviços prestados e a si própria.
Se um QTSP já tiver obtido um estatuto de qualificado para a emissão de certificados qualificados, antes da entrada em vigor do regulamento, deve apresentar um relatório de avaliação da conformidade a uma entidade supervisora o mais tardar dois anos após a entrada em vigor do regulamento.
Se o QTSP não cumprir os requisitos estabelecidos no Regulamento Identidade Digital Europeia e não os retificar no prazo especificado após ter sido informado, o estatuto de qualificado pode ser retirado e a lista nacional de confiança atualizada em conformidade.
A partir do momento em que o estatuto de qualificado do serviço de confiança prestado pelo prestador de serviços de viagem é indicado como retirado na lista de confiança, o prestador de serviços de viagem deixa de estar autorizado a prestar esse serviço de confiança qualificado.
No Regulamento Identidade Digital Europeia, um organismo de avaliação da conformidade (CAB) é definido como uma entidade competente para avaliar os prestadores qualificados de serviços de confiança e os serviços que oferecem.
Inicialmente, os organismos nacionais de acreditação (ONA) ou os Estados-Membros não eram obrigados a informar a Comissão Europeia sobre os organismos de avaliação da conformidade acreditados nos termos do artigo 3.o, n.o 18, do eIDAS.
No entanto, graças aos esforços de cooperação dos organismos nacionais de acreditação e dos organismos de supervisão, a Comissão compilou uma lista deorganismos de avaliação daconformidade acreditados pelo eIDAS.
Nos termos do Regulamento (UE) n.o 910/2014 (Regulamento eIDAS), os organismos de avaliação da conformidade são enumerados no país em que o organismo nacional de acreditação acreditado está localizado, o que pode diferir do país de estabelecimento do organismo de avaliação da conformidade.
O Regulamento Identidade Digital Europeia introduz uma alteração, uma vez que os Estados-Membros serão obrigados a notificar prontamente a Comissão sobre os organismos de avaliação da conformidade acreditados, incluindo os seus nomes, endereços e dados de acreditação, juntamente com quaisquer alterações subsequentes. Estas informações serão partilhadas com todos os Estados-Membros e permanecerão acessíveis ao público.
As listasaprovadas são essenciais para garantir a segurança e reforçar a confiança entre os operadores do mercado. As listas de confiança indicam continuamente o estatuto de qualificado de um prestador de serviços de confiança e o serviço de confiança que oferece. A lista promove a interoperabilidade dos serviços de confiança qualificados, facilitando a validação, nomeadamente, das assinaturas eletrónicas qualificadas e dos selos eletrónicos qualificados.
Ao abrigo do Regulamento Identidade Digital Europeia, as listas aprovadas nacionais continuam a ter um efeito jurídico constitutivo, como já era o caso ao abrigo do Regulamento eIDAS original. Por outras palavras, um prestador/serviço só será qualificado se figurar com um estatuto de qualificado válido na lista aprovada nacional do Estado-Membro em que está estabelecido. Por conseguinte, os utilizadores (cidadãos, empresas ou administrações públicas) só beneficiarão dos efeitos jurídicos associados a um determinado serviço de confiança qualificado se este último constar (conforme qualificado) da lista aprovada pertinente.
Nos termos do novo Regulamento Identidade Digital Europeia, os vendedores de programas de navegação não são obrigados a reconhecer, integrar ou utilizar as listas aprovadas nos seus produtos. A obrigação dos programas de navegação limita-se a apresentar os dados de identidade certificados e os outros atributos certificados ao utilizador final de forma convivial no ambiente do programa de navegação, por meios técnicos à sua escolha. O objetivo é aumentar a segurança e a transparência da Internet como serviços confiáveis.
Não. É uma decisão comercial dos prestadores de serviços de confiança sobre a prestação de um, mais do que um ou todos os serviços de confiança, incluindo a prestação dos serviços na sua versão qualificada.
Sim, no contexto da emissão de um certificado qualificado ou de um certificado qualificado de atributos, é necessário um prestador qualificado de serviços de confiança (QTSP) para verificar a identidade da pessoa singular ou coletiva. Este requisito é extensível aos casos em que é emitido um serviço qualificado de envio registado eletrónico. Nos termos do artigo 24.o do Regulamento Identidade Digital Europeia, ao emitir um certificado qualificado ou um certificado eletrónico qualificado de atributos, um QTSP deve verificar a identidade e quaisquer atributos necessários da pessoa em causa. Isto garante que o QTSP tem certeza na exactidão e correcção da identidade do indivíduo, bem como quaisquer atributos relevantes, no momento da emissão. A verificação pode ser efetuada utilizando vários métodos, incluindo a carteira europeia de identidade digital, assinaturas ou selos eletrónicos qualificados ou outros métodos altamente fiáveis. Além disso, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva pode também servir de meio de verificação.
Não. De acordo com o princípio do mercado interno (artigo 4.o) e o artigo 24.o-A do Regulamento Identidade Digital Europeia, um serviço de confiança qualificado prestado num Estado-Membro deve ser reconhecido como qualificado em todos os outros Estados-Membros.
O Regulamento Identidade Digital Europeia torna o processo de reconhecimento mútuo dos serviços de confiança mais simples, acrescentando ao acordo internacional previsto no artigo 218.o do TFUE a possibilidade de adoção de atos de execução para estabelecer as condições em que os regimes de confiança de países terceiros podem ser considerados equivalentes ao regime dos serviços de confiança qualificados na União.
O que pode/deve ser feito a nível nacional?
O Regulamento Identidade Digital Europeia estabelece um novo quadro de governação abrangente para a identificação eletrónica e os serviços de confiança. Este quadro foi concebido para facilitar a aplicação e a supervisão das carteiras europeias de identidade digital e dos serviços de confiança. O novo quadro de governação inclui, nomeadamente, um novo organismo de cooperação e coordenação, o Grupo Europeu de Cooperação para a Identidade Digital. Este organismo foi incumbido de uma vasta gama de tarefas, por exemplo, trocar aconselhamento e cooperar com a Comissão sobre iniciativas políticas emergentes, organizar avaliações pelos pares dos meios de identificação eletrónica notificados que não a carteira europeia de identidade digital, debater pedidos de assistência mútua e trocar pontos de vista, boas práticas e outras informações entre todas as partes. A nova estrutura melhorará a coerência e a eficácia do atual sistema de governação e substituirá a atual estrutura fragmentada.
Sim, os Estados-Membros podem criar outros serviços de confiança. No entanto, se estes serviços não respeitarem o quadro jurídico definido pelo Regulamento eIDAS alterado, nomeadamente no que diz respeito aos serviços de confiança qualificados, carecerão de efeitos jurídicos transfronteiras.
Como princípio geral, não podem ser negados às assinaturas eletrónicas e aos selos eletrónicos efeitos jurídicos nem admissibilidade como prova em processos judiciais, incluindo pelas administrações públicas, pelo simples facto de se encontrarem em formato eletrónico ou de não cumprirem os requisitos aplicáveis às assinaturas/selos eletrónicos qualificados. Essas assinaturas/selos eletrónicos devem beneficiar deste princípio, independentemente do seu formato técnico. O Regulamento EUDI manteve a obrigação de os serviços em linha oferecidos por um organismo do setor público ou em seu nome reconhecerem, pelo menos, os formatos ou métodos técnicos enumerados num ato de execução adotado nos termos do artigo 27.o/37.o-I.
Não, é proibido que as legislações nacionais regulamentem o período de validade dos certificados qualificados, uma vez que este é harmonizado pelo Regulamento Identidade Digital Europeia.
Não, é proibido que as legislações nacionais regulamentem esta matéria, uma vez que tal está harmonizado pelo Regulamento Identidade Digital Europeia. O Regulamento Identidade Digital estabelece que a validade dessa certificação não pode exceder cinco anos, desde que as avaliações da vulnerabilidade sejam realizadas de dois em dois anos. A Comissão será responsável pela emissão de orientações sobre a certificação e recertificação dos dispositivos qualificados de criação de assinaturas eletrónicas e dos dispositivos qualificados de criação de selos eletrónicos, incluindo a sua validade e limitações temporais. Tal assegurará a coerência das práticas de certificação em toda a União.
O Regulamento Identidade Digital Europeia estipula que os Estados-Membros devem definir sanções para as infrações, incluindo a utilização abusiva da marca de confiança da UE para serviços de confiança qualificados por prestadores de serviços de confiança não qualificados. A fim de assegurar a aplicação efetiva do regulamento, garantindo simultaneamente que as sanções sejam efetivas, proporcionadas e dissuasivas, o regulamento prevê o estabelecimento de orientações em matéria de coimas para os prestadores de serviços de confiança qualificados e não qualificados. O regulamento estabelece um limiar para as sanções máximas que podem ser aplicadas aos prestadores de serviços de confiança que violem as regras relativas às pessoas singulares.
Medidas tomadas pelas instituições da UE e pelos Estados-Membros
Após a entrada em vigor do Regulamento Identidade Digital Europeia, a Comissão publicará uma série de atos de execução destinados a harmonizar a aplicação dos requisitos do regulamento. Além disso, a Comissão promoverá uma cooperação estreita e estruturada com várias partes interessadas, incluindo os Estados-Membros, a sociedade civil e o setor privado. Esta colaboração será facilitada através de grupos de peritos, consultas específicas das partes interessadas e consultas públicas.
O Regulamento Identidade Digital Europeia é diretamente aplicável nos 27 Estados-Membros da UE. Os Estados-Membros asseguram, nomeadamente:
- Designar um ou mais organismos de controlo e comunicar à Comissão os seus nomes e endereços.
- Designar os organismos de avaliação da conformidade para a certificação das carteiras europeias de identidade digital e notificar à Comissão os seus nomes, endereços e dados de acreditação.
- Colaborar com a Comissão para designar representantes no grupo de cooperação para a cooperação transfronteiriça.
- Aplicar sanções eficazes, proporcionadas e dissuasivas em caso de infração.
- Assegurar que os prestadores qualificados de serviços de confiança de certificados eletrónicos de atributos possam verificar eletronicamente os principais atributos a pedido do utilizador. Estes atributos incluem, no mínimo, os enumerados no anexo VI do Regulamento Identidade Digital Europeia, sempre que estes se baseiem em fontes autênticas do setor público.
- Ponderar a incorporação de certificados qualificados de autenticação de sítios Web em sítios Web governamentais.
- Continuar a publicar e a manter listas aprovadas nacionais, em conformidade com o artigo 22.o.
- Assegurar que os organismos do setor público reconhecem os formatos das assinaturas eletrónicas avançadas e dos selos eletrónicos em conformidade com o artigo 27.o/37.
O regulamento não é aplicável às instituições da UE, que são regidas pelos seus próprios regulamentos internos adotados. A Comissão Europeia está atualmente regulamentada neste domínio pela Decisão 2021/2121 da Comissão, que estabelece as suas próprias disposições em matéria de documentos eletrónicos e digitalizados.