Decisão da Comissão
de 6 de Novembro de 2000
sobre os critérios mínimos a ter em conta pelos Estados-Membros ao designarem as entidades previstas no n.º 4 do artigo 3.º da Directiva 1999/93/CE do Parlamento Europeu e do Conselho relativa a um quadro comunitário para as assinaturas electrónicas
[notificada com o número C(2000) 3179]
(Texto relevante para efeitos do EEE)
(2000/709/CE)
A COMISSÃO DAS COMUNIDADES EUROPEIAS,
Tendo em conta o Tratado que institui a Comunidade Europeia,
Tendo em conta a Directiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de Dezembro de 1999, relativa a um quadro comunitário para as assinaturas electrónicas1, e, nomeadamente, o n.º 4 do seu artigo 3.º,
Considerando o seguinte:
(1) Em 13 de Dezembro de 1999, o Parlamento Europeu e o Conselho adoptaram a Directiva 1999/93/CE, relativa um quadro comunitário para as assinaturas electrónicas.
(2) O anexo III da Directiva 1999/93/CE contém os requisitos a que devem obedecer os dispositivos de criação de assinaturas electrónicas seguras. Nos termos do n.º 4 do artigo 3.º da directiva, a conformidade dos dispositivos de criação de assinaturas seguras com os requisitos constantes do anexo III é avaliada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros e a Comissão estabelecerá os critérios que os Estados-Membros devem observar para decidir se uma entidade pode ser designada para avaliar essa conformidade.
(3) Para estabelecer os critérios acima referidos, a Comissão tem de consultar previamente o "Comité da Assinatura Electrónica", criado pelo n.º 1 do artigo 9.º da Directiva 1999/93/CE.
(4) As medidas previstas na presente decisão estão de acordo com o parecer do "Comité da Assinatura Electrónica",
ADOPTOU A PRESENTE DECISÃO:
Artigo 1.º
O objectivo da presente decisão é estabelecer os critérios a seguir pelos Estados-Membros quando designarem as entidades nacionais responsáveis pelas avaliações da conformidade dos dispositivos de criação de assinaturas seguras.
Artigo 2.º
A entidade designada que fizer parte de uma organização que exerça actividades distintas da avaliação da conformidade dos dispositivos de criação de assinaturas seguras com os requisitos estabelecidos no anexo III da Directiva 1999/93/CE deve ser identificável dentro dessa organização. As diferentes actividades devem ser claramente distinguidas.
Artigo 3.º
A entidade e o seu pessoal não devem exercer actividades que ponham em causa a independência dos seus juízos e a sua integridade no desempenho da sua tarefa. Nomeadamente, a entidade deve ser independente das partes envolvidas. Por conseguinte, a entidade, o seu director executivo e o pessoal responsável pelo desempenho das tarefas de avaliação da conformidade não devem ser conceptores, fabricantes, fornecedores ou instaladores de dispositivos de criação de assinaturas seguras, nem prestadores de serviços de certificação que passem certificados ao público, nem representantes autorizados dessas partes.
Além disso, devem ser financeiramente independentes e não estar directamente envolvidos na concepção, construção, comercialização ou manutenção de dispositivos de criação de assinaturas seguras, nem representar as partes envolvidas nessas actividades. Tal não exclui a possibilidade de troca de informações técnicas entre o fabricante e a entidade notificada.
Artigo 4.º
A entidade e o seu pessoal devem ser capazes de determinar a conformidade dos dispositivos de criação de assinaturas seguras com os requisitos estabelecidos no anexo III da Directiva 1999/93/CE com um elevado grau de integridade profissional, fiabilidade e competência técnica suficiente.
Artigo 5.º
A entidade deve ser transparente nas suas práticas de avaliação da conformidade e deve registar todas as informações pertinentes relativas a essas práticas. Todas as partes interessadas devem ter acesso aos serviços da entidade. Os procedimentos seguidos pela entidade devem ser administrados de um modo não discriminatório.
Artigo 6.º
A entidade deve dispor do pessoal e das instalações necessários para poder desempenhar devidamente e com rapidez os trabalhos técnicos e administrativos associados à função para que foi designada.
Artigo 7.º
O pessoal responsável pela avaliação da conformidade deve possuir:
- uma sólida formação técnica e profissional, em especial no domínio das tecnologias das assinaturas electrónicas e nos aspectos da segurança das TI com elas relacionadas,
- um conhecimento satisfatório dos requisitos das avaliações de conformidade que efectuam e uma experiência adequada para efectuar essas avaliações.
Artigo 8.º
Deverá ser garantida a imparcialidade do pessoal. A sua remuneração não deve depender do número de avaliações de conformidade efectuadas nem dos resultados dessas avaliações.
Artigo 9.º
A entidade deve garantir a cobertura das suas responsabilidades pelas suas actividades, nomeadamente através de um seguro adequado.
Artigo 10.º
A entidade deve, através de disposições adequadas, garantir a confidencialidade das informações obtidas no desempenho das tarefas previstas na Directiva 1999/93/CE ou em qualquer disposição da legislação nacional que a aplique, excepto perante as autoridades competentes do Estado-Membro que a designou.
Artigo 11.º
Caso uma entidade designada decida transferir uma parte das avaliações de conformidade para outra entidade, deve garantir e poder demonstrar a competência dessa outra entidade para realizar o serviço em causa. A entidade designada deve assumir a responsabilidade total pelos trabalhos efectuados ao abrigo desses acordos. A decisão final cabe à entidade designada.
Artigo 12.º
Os Estados-Membros são os destinatários da presente decisão.
Feito em Bruxelas, em 6 de Novembro de 2000.
Pela Comissão
Erkki Liikanen
Membro da Comissão
