Regulamento de Execução
Regulamento de Execução (UE) 2015/1501 da Comissão de 8 de setembro de 2015 que estabelece o quadro de interoperabilidade, nos termos do artigo 12.º, n.º 8, do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE1, nomeadamente o artigo 12.º, n.º 8,
Considerando o seguinte:
(1) O artigo 12.º, n.º 2, do Regulamento (UE) n.º 910/2014 prevê que deve ser estabelecido um quadro de interoperabilidade para efeitos da interoperabilidade dos sistemas nacionais de identificação eletrónica notificados nos termos do artigo 9.º, n.º 1, do referido regulamento.
(2) Os nós desempenham um papel central na interligação dos sistemas de identificação eletrónica dos Estados-Membros. O seu contributo é explicado na documentação relacionada com o Mecanismo Interligar a Europa criado pelo Regulamento (UE) n.º 1316/2013 do Parlamento Europeu e do Conselho2, incluindo as funções e componentes do «nó eIDAS».
(3) Sempre que um Estado-Membro ou a Comissão forneça software para assegurar a autenticação de um nó explorado noutro Estado-Membro, a parte que fornece e atualiza o software utilizado no mecanismo de autenticação pode estabelecer por acordo com a parte que acolhe o software a forma como o funcionamento do mecanismo de autenticação será gerido. Este acordo não deve impor à parte que acolhe o software requisitos técnicos ou custos desproporcionados (incluindo o apoio, responsabilidades, alojamento e outras despesas).
(4) Na medida em que a aplicação do quadro de interoperabilidade o justifique, poderão ser elaboradas pela Comissão, em colaboração com os Estados-Membros, outras especificações técnicas que pormenorizem os requisitos técnicos estabelecidos no presente regulamento, em especial tendo em conta os pareceres da rede de cooperação referida no artigo 14.º, alínea d), da Decisão de Execução (UE) 2015/296 da Comissão3. Estas especificações devem ser elaboradas como parte das infraestruturas de serviços digitais previstas no Regulamento (UE) n.º 1316/2013, que estabelece os meios para a aplicação prática de um elemento de identificação eletrónica.
(5) Os requisitos técnicos estabelecidos no presente regulamento devem ser aplicáveis não obstante eventuais alterações nas especificações técnicas que possam vir a ser elaboradas nos termos do artigo 12.º do presente regulamento.
(6) O projeto-piloto de grande escala STORK, incluindo as especificações aí desenvolvidas, e os princípios e conceitos do quadro europeu de interoperabilidade para os serviços públicos europeus foram tidos na máxima conta ao estabelecer as modalidades do quadro de interoperabilidade no presente regulamento.
(7) Os resultados da cooperação entre os Estados-Membros foram tidos na máxima conta.
(8) As medidas previstas no presente regulamento são conformes com o parecer do comité instituído pelo artigo 48.º do Regulamento (UE) n.º 910/2014,
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.º
Objeto
O presente regulamento estabelece os requisitos técnicos e operacionais do quadro de interoperabilidade, a fim de garantir a interoperabilidade dos sistemas de identificação eletrónica que os Estados-Membros notificam à Comissão.
Estes requisitos incluem, em especial:
a) Requisitos técnicos mínimos relacionados com os níveis de garantia e a correspondência entre os níveis de garantia nacionais dos meios de identificação eletrónica notificados emitidos no âmbito de sistemas de identificação eletrónica notificados nos termos do artigo 8.º do Regulamento (UE) n.º 910/2014, que são definidos nos artigos 3.º e 4.º;
b) Requisitos técnicos mínimos para a interoperabilidade, que são definidos nos artigos 5.º e 8.º;
c) O conjunto mínimo de dados de identificação que representam de modo único uma pessoa singular ou coletiva, que é definido no artigo 11.º e no anexo;
d) As normas comuns de segurança operacional, que são definidas nos artigos 6.º, 7.º, 9.º e 10.º;
e) As modalidades de resolução de litígios, que são definidas no artigo 13.º.
Artigo 2.º
Definições
Para efeitos do presente regulamento, entende-se por:
1) «Nó», um ponto de ligação que faz parte da arquitetura da interoperabilidade da identificação eletrónica e que participa na autenticação transfronteiriça de pessoas, tendo capacidade para reconhecer e tratar ou transmitir comunicações de ou para outros nós, permitindo às infraestruturas de identificação eletrónica nacionais de um Estado-Membro interagirem com as infraestruturas de identificação eletrónica de outros Estados-Membros;
2) «Operador do nó», a entidade responsável por assegurar que o nó funciona corretamente e realiza de forma fiável as suas funções de ponto de ligação.
Artigo 3.º
Requisitos técnicos mínimos relacionados com os níveis de garantia
Os requisitos técnicos mínimos relacionados com os níveis de garantia são definidos no Regulamento de Execução (UE) 2015/1502 da Comissão4.
Artigo 4.º
Recenseamento dos níveis de garantia nacionais
O recenseamento dos níveis de garantia nacionais dos sistemas de identificação eletrónica notificados deve satisfazer os requisitos estabelecidos no Regulamento de Execução (UE) 2015/1502 da Comissão. Os resultados do recenseamento devem ser notificados à Comissão, utilizando o modelo de notificação definido na Decisão de Execução (UE) 2015/1505 da Comissão5.
Artigo 5.º
Nós
1. O nó de um Estado-Membro deve poder ligar-se aos nós de outros Estados-Membros.
2. Os nós devem ser capazes de distinguir entre os organismos do setor público e as outras partes utilizadoras através de meios técnicos.
3. A aplicação por um Estado-Membro dos requisitos técnicos estabelecidos no presente regulamento não pode impor requisitos técnicos ou custos desproporcionados a outros Estados-Membros para que estes possam interagir com o sistema adotado pelo primeiro.
Artigo 6.º
Privacidade e confidencialidade dos dados
1. A proteção da vida privada e da confidencialidade dos dados trocados e a conservação da integridade dos dados entre os nós devem ser garantidas mediante a utilização das melhores soluções técnicas e práticas de proteção disponíveis.
2. Os nós não devem armazenar quaisquer dados pessoais, exceto para os fins previstos no artigo 9.º, n.º 3.
Artigo 7.º
Integridade e autenticidade dos dados a comunicar
A comunicação entre os nós deve assegurar a integridade e autenticidade dos dados de forma a garantir que todos os pedidos e respostas são autênticos e não foram manipulados. Para o efeito, devem utilizar as soluções que foram aplicadas com êxito na utilização operacional transfronteiriça.
Artigo 8.º
Formato das mensagens para a comunicação
Os nós devem utilizar uma sintaxe comum de formatos de mensagem baseados em normas que já foram utilizadas mais do que uma vez entre os Estados-Membros e que deram provas de funcionalidade num ambiente operacional. A sintaxe deve permitir:
a) O tratamento adequado do conjunto mínimo de dados de identificação que representam de modo único uma pessoa singular ou coletiva;
b) O tratamento adequado do nível de garantia dos meios de identificação eletrónica;
c) A distinção entre os organismos do setor público e as outras partes utilizadoras;
d) A flexibilidade para responder às necessidades de atributos adicionais de identificação.
Artigo 9.º
Gestão da segurança da informação e metadados
1. O operador do nó deve comunicar os metadados de gestão do nó num formato normalizado que permita o tratamento automatizado e de um modo seguro e fiável.
2. No mínimo, os parâmetros relevantes para a segurança devem ser tratados automaticamente.
3. O operador do nó deve armazenar os dados que, em caso de incidente, permitam a reconstrução da sequência da troca de mensagens por forma a determinar o local e a natureza do incidente. Os dados são armazenados durante um período de tempo de acordo com os requisitos nacionais e, no mínimo, devem conter os seguintes elementos:
a) Identificação do nó;
b) Identificação da mensagem;
c) Data e hora da mensagem.
Artigo 10.º
Normas de garantia e segurança da informação
1. Os operadores de nós que prestam serviços de autenticação devem provar que, relativamente aos nós que participam no quadro de interoperabilidade, o seu nó cumpre os requisitos da norma ISO/IEC 27001 através da certificação ou de métodos equivalentes de avaliação ou de acordo com a legislação nacional.
2. Os operadores de nós devem proceder às atualizações críticas de segurança sem demora injustificada.
Artigo 11.º
Dados de identificação pessoal
1. O conjunto mínimo de dados de identificação que representam de modo único uma pessoa singular ou coletiva deve cumprir os requisitos estabelecidos no anexo, quando utilizado num contexto transfronteiriço.
2. O conjunto mínimo de dados para uma pessoa singular que represente uma pessoa coletiva deve incluir a combinação dos atributos enumerados no anexo para as pessoas singulares e para as pessoas coletivas, quando utilizado num contexto transfronteiriço.
3. Os dados devem ser transmitidos com base nos carateres originais e, quando adequado, também com a sua transliteração em carateres latinos.
Artigo 12.º
Especificações técnicas
1. Quando o processo de aplicação do quadro de interoperabilidade o justifique, a rede de cooperação estabelecida pela Decisão de Execução (UE) 2015/296 pode emitir pareceres ao abrigo do artigo 14.º, alínea d), sobre a necessidade de elaborar especificações técnicas. Essas especificações técnicas devem fornecer informações mais pormenorizadas sobre os requisitos técnicos estabelecidos no presente regulamento.
2. Nos termos do parecer referido no n.º 1, a Comissão, em cooperação com os Estados-Membros, deve elaborar as especificações técnicas como parte das infraestruturas de serviços digitais do Regulamento (UE) n.º 1316/2013.
3. A rede de cooperação deve emitir um parecer nos termos do artigo 14.º, alínea d), da Decisão de Execução (UE) 2015/296, em que avalia se, e em que medida, as especificações técnicas elaboradas nos termos do n.º 2 correspondem às necessidades identificadas no parecer referido no n.º 1, ou cumprem os requisitos estabelecidos no presente regulamento. A rede de cooperação pode recomendar que os Estados-Membros tomem em conta as especificações técnicas ao aplicarem o quadro de interoperabilidade.
4. A Comissão deve fornecer uma aplicação de referência como um exemplo de interpretação das especificações técnicas. Os Estados-Membros podem aplicar esta aplicação de referência ou utilizá-la como amostra quando se testam outras aplicações das especificações técnicas.
Artigo 13.º
Resolução de litígios
1. Sempre que possível, quaisquer litígios relativos ao quadro de interoperabilidade devem ser resolvidos pelos Estados-Membros em causa através de negociações.
2. Se não se alcançar a uma solução em conformidade com o disposto no n.º 1, a rede de cooperação estabelecida pela Decisão de Execução (UE) 2015/296 terá competência para resolver o litígio em conformidade com o seu regulamento interno.
Artigo 14.º
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 8 de setembro de 2015.
Pela Comissão
O Presidente
Jean-Claude JUNCKER
ANEXO
Requisitos relativos ao conjunto mínimo de dados de identificação que representem de modo único uma pessoa singular ou coletiva referido no artigo 11.o
1. Conjunto mínimo de dados para uma pessoa singular
O conjunto mínimo de dados para uma pessoa singular deve conter obrigatoriamente todas as seguintes características:
a) Apelido(s) atual(is);
b) Nome(s) próprio(s) atual(is);
c) Data de nascimento;
d) Um identificador único atribuído pelo Estado-Membro de expedição, conforme com as especificações técnicas para efeitos de identificação transfronteiriça e tão persistente quanto possível no tempo.
O conjunto mínimo de dados para uma pessoa singular pode conter uma ou mais das seguintes características:
a) Nome(s) próprio(s) e apelido(s) de nascimento;
b) Local de nascimento;
c) Endereço atual;
d) Sexo.
2. Conjunto mínimo de dados para uma pessoa coletiva
O conjunto mínimo de dados para uma pessoa coletiva deve conter obrigatoriamente todas as seguintes características:
a) Denominação oficial atual;
b) Um identificador único atribuído pelo Estado-Membro de expedição, conforme com as especificações técnicas para efeitos de identificação transfronteiriça e tão persistente quanto possível no tempo.
O conjunto mínimo de dados para uma pessoa coletiva pode conter uma ou mais das seguintes características:
a) Endereço atual;
b) Número do IVA;
c) Número de identificação fiscal;
d) O identificador relacionado com o artigo 3.o, n.o 1, da Diretiva 2009/101/CE do Parlamento Europeu e do Conselho6;
e) Identificador de pessoa jurídica a que se refere o Regulamento de Execução (UE) n.o 1247/2012 da Comissão7;
f) Número de registo de operador económico (EORI) a que se refere o Regulamento de Execução (UE) n.o 1352/2013 da Comissão8;
g) Número de imposto especial de consumo previsto no artigo 2.o, n.o 12, do Regulamento (UE) n.o 389/2012 do Conselho9.
1 JO L 257 de 28.8.2014, p. 73
2 Regulamento (UE) n.o 1316/2013 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2013, que cria o Mecanismo Interligar a Europa, altera o Regulamento (UE) n.o 913/2010 e revoga os Regulamentos (CE) n.o 680/2007 e (CE) n.o 67/2010 (JO L 348 de 20.12.2013, p. 129
3 Decisão de Execução (UE) 2015/296 da Comissão, de 24 de fevereiro de 2015, que estabelece as disposições processuais de cooperação entre Estados-Membros em matéria de identificação eletrónica nos termos do artigo 12.o, n.o 7, do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (JO L 53 de 25.2.2015, p. 14
4 Regulamento de Execução (UE) 2015/1502 da Comissão, de 8 de setembro de 2015, que estabelece as especificações técnicas mínimas e os procedimentos para a atribuição dos níveis de garantia dos meios de identificação eletrónica, nos termos do artigo 8.o, n.o 3, do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (ver página 7 do presente Jornal Oficial).
5 Decisão de Execução (UE) 2015/1505 da Comissão, de 8 de setembro de 2015, que estabelece as especificações técnicas e os formatos relativos às listas de confiança, nos termos do artigo 22.o, n.o 5, do Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (ver página 26 do presente Jornal Oficial).
6 Diretiva 2009/101/CE do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, tendente a coordenar as garantias que, para proteção dos interesses dos sócios e de terceiros, são exigidas nos Estados-Membros às sociedades, na aceção do segundo parágrafo do artigo 48.o do Tratado, a fim de tornar equivalentes essas garantias em toda a Comunidade (JO L 258 de 1.10.2009, p. 11
7 Regulamento de Execução (UE) n.o 1247/2012 da Comissão, de 19 de dezembro de 2012, que estabelece as normas técnicas de execução no que se refere ao formato e à periodicidade dos relatórios de transações a transmitir aos repositórios de transações nos termos do Regulamento (UE) n.o 648/2012 do Parlamento Europeu e do Conselho relativo aos derivados do mercado de balcão, às contrapartes centrais e aos repositórios de transações (JO L 352 de 21.12.2012, p. 20
8 Regulamento de Execução (UE) n.o 1352/2013 da Comissão, de 4 de dezembro de 2013, que estabelece os formulários previstos no Regulamento (UE) n.o 608/2013 do Parlamento Europeu e do Conselho relativo à intervenção das autoridades aduaneiras para assegurar o cumprimento da legislação sobre os direitos de propriedade intelectual (JO L 341 de 18.12.2013, p. 10
9 Regulamento (UE) n.o 389/2012 do Conselho, de 2 de maio de 2012, relativo à cooperação administrativa no domínio dos impostos especiais de consumo e que revoga o Regulamento (CE) n.o 2073/2004 (JO L 121 de 8.5.2012, p. 1
