Presidência do Conselho de Ministros
Portaria
O Decreto-Lei n.º 290-D/99, de 2 de Agosto, que aprova o regime jurídico dos documentos electrónicos e da assinatura digital, prevê a existência de um registo junto da autoridade credenciadora de todas as entidades certificadoras que emitem certificados qualificados.
O Decreto-Lei n.º 116-A/2006, de 16 de Junho, procedeu à criação do Sistema de Certificação Electrónica do Estado - Infra-Estrutura de Chaves Públicas (SCEE) e designou a Autoridade Nacional de Segurança (ANS) como autoridade credenciadora nacional, em substituição do Instituto das Tecnologias de Informação na Justiça (ITIJ), tendo-lhe cometido as competências de credenciar e fiscalizar as entidades certificadoras compreendidas no SCEE.
A alínea j) do artigo 2.º do Decreto-Lei n.º 170/2007, de 3 de Maio, que aprovou a orgânica do Gabinete Nacional de Segurança, na sequência do Programa para a Reestruturação da Administração Central do Estado (PRACE), estabelece que este serviço tem por atribuição actuar como autoridade credenciadora e de fiscalização tanto de entidades que actuem no âmbito do SCEE como de entidades que actuem no quadro do regime jurídico dos documentos electrónicos e da assinatura electrónica e para os efeitos nele previstos.
Mais recentemente, o Decreto-Lei n.º 88/2009, de 9 de Abril, veio alterar tanto o regime jurídico dos documentos electrónicos e da assinatura digital como o regime aplicável ao SCEE, no sentido de garantir uma melhor protecção jurídica da utilização de serviços de certificação electrónica nos sectores público e privado.
Ao nível das funções de fiscalização da actividade de certificação electrónica pela autoridade credenciadora nacional, manteve-se a exigência de as entidades certificadoras que emitam certificados qualificados procederem ao respectivo registo junto daquela autoridade. A este respeito e salvaguardada a necessária compatibilização do regime jurídico dos documentos electrónicos e da assinatura digital com a Directiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, passou a prever-se que as entidades certificadoras credenciadas ou sujeitas a sistema de fiscalização de outro Estado membro da União Europeia ou as entidades certificadoras de Estado terceiro que obedeçam aos requisitos estabelecidos pela directiva atrás referida, ainda que lhes seja reconhecida a equiparação à actividade exercida por entidades certificadoras estabelecidas em Portugal, não deixam de estar sujeitas à obrigação de registo junto da autoridade credenciadora nacional. Esta obrigação de registo visa garantir a demonstração de que aquelas entidades se encontram plenamente equiparadas às restantes entidades certificadoras, para além de permitir assegurar a adequada publicidade da actividade exercida por aquelas entidades, tendo em vista a segurança jurídica dos utilizadores de serviços de certificação electrónica.
A presente portaria visa, pois, adequar os termos a que obedece o registo das entidades certificadoras que emitem certificados qualificados tanto ao novo enquadramento da autoridade credenciadora nacional na sequência da criação do SCEE pelo Decreto-Lei n.º 116-A/2006, de 16 de Junho, como às alterações recentemente introduzidas no regime jurídico dos documentos electrónicos e da assinatura digital pelo Decreto-Lei n.º 88/2009, de 9 de Abril.
Assim:
Nos termos do n.º 2 do artigo 9.º do Decreto-Lei n.º 290-D/99, de 2 de Agosto, alterado pelo Decreto-Lei n.º 62/2003, de 3 de Abril, pelo Decreto-Lei n.º 165/2004, de 6 de Julho, pelo Decreto-Lei n.º 116-A/2006, de 16 de Junho, e pelo Decreto-Lei n.º 88/2009, de 9 de Abril, e pelo Decreto-Lei n.º 116-A/2006, de 16 de Junho, alterado pelo Decreto-Lei n.º 88/2009, de 9 de Abril, e ao abrigo do disposto na alínea h) do n.º 1 do despacho n.º 14 405/2005 (2.ª série), de 21 de Junho, publicado no Diário da República, 2.ª série, n.º 124, de 30 de Junho de 2005:
Manda o Governo, pelo Secretário de Estado da Presidência do Conselho de Ministros, o seguinte:
Artigo 1.º
Objecto
A presente portaria estabelece os termos a que obedece o registo das entidades certificadoras que emitem certificados qualificados nos termos do Decreto-Lei n.º 290-D/99, de 2 de Agosto.
Artigo 2.º
Âmbito
1 - A obrigação de registo regulada pela presente portaria é aplicável:
a) Às entidades certificadoras que emitam certificados qualificados e que prestem directa ou indirectamente em Portugal serviços de certificação electrónica;
b) Às entidades certificadoras credenciadas em outros Estados membros da União Europeia ou em Estados terceiros que prestem directa ou indirectamente serviços de certificação electrónica em Portugal.
2 - A obrigação de registo regulada pela presente portaria é igualmente aplicável, no caso de a actividade de prestação de serviços de certificação electrónica ser realizada por entidade de direito nacional, por força de subcontratação ou de outro mecanismo de representação legal.
3 - As entidades certificadoras nacionais que estejam sujeitas ao procedimento de credenciação previsto no Decreto-Lei n.º 290-D/99, de 2 de Agosto, para poder exercer a actividade relacionada com a emissão de certificados qualificados, são registadas oficiosamente junto da autoridade credenciadora no âmbito do referido procedimento.
Artigo 3.º
Entidade competente
A entidade competente para proceder ao registo é a Autoridade Nacional de Segurança, nos termos do n.º 1 do artigo 8.º do Decreto-Lei n.º 116-A/2007, de 16 de Junho, alterado pelo Decreto-Lei n.º 88/2009, de 9 de Abril, e da alínea j) do n.º 2 do artigo 2.º do Decreto-Lei n.º 170/2007, de 3 de Maio.
Artigo 4.º
Pedido
1 - O pedido de registo é realizado mediante o preenchimento de um formulário próprio, disponibilizado pela Autoridade Nacional de Segurança no respectivo sítio na Internet, do qual constam os elementos respeitantes à actividade da entidade certificadora.
2 - O pedido de registo é acompanhado dos seguintes documentos:
a) Declaração subscrita pela entidade certificadora de que tem conhecimento de todas as disposições legais e regulamentares aplicáveis às entidades certificadoras que emitem certificados qualificados e que se compromete a cumpri-las;
b) Declaração subscrita pelo auditor de segurança em como a entidade certificadora cumpre os requisitos e as disposições legais e regulamentares aplicáveis às entidades certificadoras que emitem certificados qualificados;
c) Cópia dos estatutos da pessoa colectiva e, tratando-se de sociedade, contrato de sociedade ou, tratando-se de pessoa singular, a respectiva identificação;
d) Tratando-se de sociedade comercial, relação de todos os sócios, com especificação das respectivas participações, bem como dos membros dos órgãos de administração e de fiscalização, e, tratando-se de sociedade anónima, relação de todos os accionistas com participações significativas, directas ou indirectas;
e) Prova do substrato patrimonial e dos meios financeiros disponíveis e, tratando-se de sociedade comercial, da realização integral do capital social;
f) Cópia da apólice do contrato de seguro a que se refere a que se refere a alínea d) do artigo 24.º do Decreto-Lei n.º 290-D/99, de 2 de Agosto, quando o mesmo tenha sido disponibilizado por companhia de seguros;
g) Cópia da política de certificados e da declaração de práticas de certificação;
h) Descrição dos produtos de assinatura electrónica que utiliza;
i) Certificados de conformidade dos dispositivos seguros de criação de assinaturas, emitidos por organismo de certificação acreditado nos termos previstos no artigo 37.º do Decreto-Lei n.º 290-D/99, de 2 de Agosto.
3 - As entidades certificadoras estrangeiras que se enquadrem nos termos previstos nos n.os 1, 2 e 3 do artigo 38.º do Decreto-Lei n.º 290-D/99, de 2 de Agosto, fazem acompanhar o pedido de registo com os seguintes documentos:
a) Declaração subscrita pela autoridade credenciadora do país onde a entidade certificadora esteja estabelecida, atestando a situação em que esta se encontra, nomeadamente, credenciada ou sujeita a sistema de fiscalização;
b) Cópia do certificado de credenciação, se aplicável;
c) Cópia do relatório de credenciação, se aplicável;
4 - As entidades que se enquadrem nos termos previstos no n.º 6 do artigo 38.º do Decreto-Lei n.º 290-D/99, de 2 de Agosto, fazem acompanhar o pedido de registo com os seguintes documentos:
a) Declaração subscrita pela entidade de que tem conhecimento de todas as disposições legais e regulamentares aplicáveis às entidades certificadoras que emitem certificados qualificados e que se compromete a cumpri-las, no âmbito dos serviços por si prestados;
b) Cópia dos estatutos da pessoa colectiva e, tratando-se de sociedade, contrato de sociedade ou, tratando-se de pessoa singular, a respectiva identificação;
c) Tratando-se de sociedade comercial, relação de todos os sócios, com especificação das respectivas participações, bem como dos membros dos órgãos de administração e de fiscalização, e, tratando-se de sociedade anónima, relação de todos os accionistas com participações significativas, directas ou indirectas;
d) Cópia do contrato celebrado com a entidade certificadora, no qual conste os termos, condições e responsabilidades na prestação do respectivo serviço.
5 - O pedido de inscrição no registo pode ser apresentado na Autoridade Nacional de Segurança, em papel, directamente ou remetido pelo correio sob registo, ou por via electrónica desde que ao mesmo lhe seja aposta uma assinatura electrónica qualificada e os documentos que acompanham o pedido sejam remetidos à Autoridade Nacional de Segurança no prazo de três dias subsequentes.
6 - Sem prejuízo do disposto no presente artigo, a Autoridade Nacional de Segurança pode solicitar, com carácter supletivo, a informação ou a documentação adicional que se revele necessária ao exercício da sua actividade de fiscalização.
Artigo 5.º
Recusa de inscrição no registo
1 - O registo é recusado sempre que:
a) O pedido não esteja instruído com todas as informações e documentos necessários;
b) O pedido seja inexacto ou contenha declarações falsas.
2 - Se o pedido estiver deficientemente instruído, a Autoridade Nacional de Segurança, antes de recusar a inscrição no registo, notifica o requerente, concedendo-lhe prazo razoável para suprir a deficiência ou as omissões verificadas.
Artigo 6.º
Revogação de inscrição no registo
1 - O registo é revogado sempre que se verifique que a entidade certificadora não cumpre os requisitos e disposições legais e regulamentares aplicáveis às entidades certificadoras que emitem certificados qualificados.
2 - A Autoridade Nacional de Segurança, antes de revogar a inscrição no registo, notifica a entidade certificadora, concedendo-lhe prazo razoável para suprir a deficiência ou as omissões verificadas.
Artigo 7.º
Comunicação de alterações
As alterações aos elementos e documentos referidos na presente portaria devem ser comunicadas à Autoridade Nacional de Segurança no prazo máximo de 30 dias.
Artigo 8.º
Cessação de actividade
A cessação da actividade da entidade certificadora que emite certificados qualificados é obrigatoriamente inscrita no registo com indicação da identificação da entidade a quem foi transmitida a sua documentação.
Artigo 9.º
Inscrição oficiosa no registo
São oficiosamente inscritas no registo das entidades certificadoras, pela Autoridade Nacional de Segurança, as seguintes informações relativas às entidades certificadoras credenciadas:
a) As decisões proferidas pela Autoridade Nacional de Segurança relativas à atribuição da credenciação, sua renovação e revogação, com indicação das datas em que as mesmas foram proferidas e publicadas na 2.ª série do Diário da República;
b) Indicação de que a credenciação se encontra caducada, respectiva data e referência à publicação na 2.ª série do Diário da República;
c) Identificação dos organismos de certificação que emitiram certificados de conformidade e número dos respectivos certificados.
Artigo 10.º
Publicidade
A Autoridade Nacional de Segurança organiza e mantém um registo no respectivo sítio na Internet que garanta a publicidade das informações relativas às entidades certificadoras que exercem a actividade relacionada com a emissão de certificados qualificados.
Artigo 11.º
Norma revogatória
É revogada a Portaria n.º 1350/2004, de 23 de Outubro.
Artigo 12.º
Entrada em vigor
A presente portaria entra em vigor no dia seguinte ao da sua publicação.
O Secretário de Estado da Presidência do Conselho de Ministros, Jorge Lacão Costa, em 1 de Junho de 2009.
