Directiva 1999/93/CE, de 13 de Dezembro de 1999 – Quadro Legal para as Assinaturas Electrónicas.
Relativa a um quadro legal comunitário para as assinaturas electrónicas.
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:31999L0093&from=PT
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o n.o 2 do seu artigo 47.o e os seus artigos 55.o e 95.o,
Tendo em conta a proposta da Comissão (1),
Tendo em conta o parecer do Comité Económico e Social (2), Tendo em conta o parecer do Comité das Regiões (3), Deliberando nos termos do artigo 251.o do Tratado (4), Considerando o seguinte:
- A Comissão apresentou, em 16 de Abril de 1997, ao Parlamento Europeu, ao Conselho, ao Comité Econó-mico e Social e ao Comité das Regiões uma comuni-cação relativa a uma iniciativa europeia em matéria de comércio electrónico;
- A Comissão apresentou, em 8 de Outubro de 1997, ao Parlamento Europeu, ao Conselho, ao Comité Econó-mico e Social e ao Comité das Regiões a comunicação «Garantir a segurança e a confiança nas comunicações electrónicas — Contribuição para a definição de um quadro europeu para as assinaturas digitais e a cifragem»;
- Em 1 de Dezembro de 1997, o Conselho convidou a Comissão a apresentar o mais rapidamente possível uma proposta de directiva do Parlamento Europeu e do Conselho relativa às assinaturas digitais;
- As comunicações e o comércio electrónicos necessitam de «assinaturas electrónicas» e de serviços a elas associa-dos, que permitam a autenticação dos dados; a existência de regras divergentes quanto ao reconhecimento legal das assinaturas electrónicas e à acreditação dos presta-dores de serviços de certificação nos Estados-Membros pode criar um obstáculo importante à utilização das comunicações electrónicas e do comércio electrónico, dificultando assim o desenvolvimento do mercado interno; por outro lado, a existência de um quadro comunitário claro para as assinaturas electrónicas reforça a confiança e a aceitação geral das novas tecno-logias; a existência de legislações divergentes nos Estados-Membros cria obstáculos à livre circulação de bens e serviços no mercado interno;
- Deve ser promovida a interoperabilidade dos produtos associados às assinaturas electrónicas; que, nos termos do artigo 14.o do Tratado, o mercado interno compre-ende um espaço no qual a livre circulação das mercado-rias é assegurada; devem ser satisfeitos os requisitos
- JO C 325 de 23.10.1998, p. 5.
- JO C 40 de 15.2.1999, p. 29.
- JO C 93 de 6.4.1999, p. 33.
- Parecer do Parlamento Europeu de 13 de Janeiro de 1999 (JO C 104 de 14.4.1999, p. 49), posição comum do Conselho de 28 de Junho de 1999 (JO C 243 de 27.8.1999, p. 33) e decisão do Parla-mento Europeu de 27 de Outubro de 1999 (ainda não publicada no Jornal Oficial). Decisão do Conselho de 30 de Novembro de 1999.
essenciais específicos dos produtos de assinatura electró-nica, de modo a garantir a livre circulação no mercado interno e criar confiança nas assinaturas electrónicas, sem prejuízo do disposto no Regulamento (CE) n.o 3381/94 do Conselho, de 19 de Dezembro de 1994, que institui um regime comunitário de controlo da exportação de bens de dupla utilização (5), e da Decisão 94/942/PESC do Conselho, de 19 de Dezembro de 1994, relativa à acção comum, adoptada pelo Conselho respeitante ao controlo da exportação de bens de dupla utilização (6);
- A presente directiva não procura harmonizar a prestação de serviços no que diz respeito à confidencialidade da informação quando estes são abrangidos por disposições nacionais em matéria de ordem pública ou de segurança pública;
- O mercado interno implica a livre circulação de pessoas, em resultado da qual os cidadãoes e residentes na União Europeia necessitam cada vez mais de entrar em contacto com autoridades de Estados-Membros dife-rentes daquele em que residem; a disponibilidade de comunicações electrónicas pode prestar um grande serviço nesta matéria;
- O rápido desenvolvimento tecnológico e o carácter global da Internet exigem uma abordagem aberta às diversas tecnologias e serviços, capazes de autenticar electronicamente os dados;
- As assinaturas electrónicas serão utilizadas em circuns-tâncias e aplicações muito variadas, dando origem a uma ampla gama de novos serviços e produtos relacionados com, ou utilizando, assinaturas electrónicas; a definição desses produtos e serviços não se deve limitar à emissão e gestão de certificados, devendo igualmente abarcar todos os outros serviços e produtos que utilizam ou são auxiliares das assinaturas electrónicas, tais como serviços de registo, serviços de aposição de datas, serviços de repertório, serviços informáticos ou serviços de consulta-doria relacionada com assinaturas electrónicas;
- O mercado interno permite que os prestadores de serviços de certificação desenvolvam as suas actividades transfronteiriças a fim de aumentarem a sua competitivi-dade, oferecendo assim aos consumidores e às empresas novas oportunidades de intercâmbio de informação e de comércio por meios electrónicos de modo seguro, inde-pendentemente das fronteiras; para estimular a oferta de serviços de certificação à escala comunitária através de redes abertas, os prestadores de serviços de certificação devem poder fazê-lo sem necessidade de autorização prévia; a autorização prévia significa não só uma
- JO L 367 de 31.12.1994, p. 1. Regulamento alterado pelo Regula-mento (CE) n.o 837/95 (JO L 90 de 21.4.1995, p. 1).
- JO L 367 de 31.12.1994, p. 8. Decisão com a última redacção que lhe foi dada pela Decisão 1999/193/PESC (JO L 73 de 17.3.1999, p. 1).
DIRECTIVA 1999/93/CE DO PARLAMENTO EUROPEU E DO CONSELHO
de 13 de Dezembro de 1999
relativa a um quadro legal comunitário para as assinaturas electrónicas
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado que institui a Comunidade Europeia e, nomeadamente, o n.o 2 do seu artigo 47.o e os seus artigos 55.o e 95.o,
Tendo em conta a proposta da Comissão (1),
Tendo em conta o parecer do Comité Económico e Social (2), Tendo em conta o parecer do Comité das Regiões (3), Deliberando nos termos do artigo 251.o do Tratado (4), Considerando o seguinte:
- A Comissão apresentou, em 16 de Abril de 1997, ao Parlamento Europeu, ao Conselho, ao Comité Econó-mico e Social e ao Comité das Regiões uma comuni-cação relativa a uma iniciativa europeia em matéria de comércio electrónico;
- A Comissão apresentou, em 8 de Outubro de 1997, ao Parlamento Europeu, ao Conselho, ao Comité Econó-mico e Social e ao Comité das Regiões a comunicação «Garantir a segurança e a confiança nas comunicações electrónicas — Contribuição para a definição de um quadro europeu para as assinaturas digitais e a cifragem»;
- Em 1 de Dezembro de 1997, o Conselho convidou a Comissão a apresentar o mais rapidamente possível uma proposta de directiva do Parlamento Europeu e do Conselho relativa às assinaturas digitais;
- As comunicações e o comércio electrónicos necessitam de «assinaturas electrónicas» e de serviços a elas associa-dos, que permitam a autenticação dos dados; a existência de regras divergentes quanto ao reconhecimento legal das assinaturas electrónicas e à acreditação dos presta-dores de serviços de certificação nos Estados-Membros pode criar um obstáculo importante à utilização das comunicações electrónicas e do comércio electrónico, dificultando assim o desenvolvimento do mercado interno; por outro lado, a existência de um quadro comunitário claro para as assinaturas electrónicas reforça a confiança e a aceitação geral das novas tecno-logias; a existência de legislações divergentes nos Estados-Membros cria obstáculos à livre circulação de bens e serviços no mercado interno;
- Deve ser promovida a interoperabilidade dos produtos associados às assinaturas electrónicas; que, nos termos do artigo 14.o do Tratado, o mercado interno compre-ende um espaço no qual a livre circulação das mercado-rias é assegurada; devem ser satisfeitos os requisitos
- JO C 325 de 23.10.1998, p. 5.
- JO C 40 de 15.2.1999, p. 29.
- JO C 93 de 6.4.1999, p. 33.
- Parecer do Parlamento Europeu de 13 de Janeiro de 1999 (JO C 104 de 14.4.1999, p. 49), posição comum do Conselho de 28 de Junho de 1999 (JO C 243 de 27.8.1999, p. 33) e decisão do Parla-mento Europeu de 27 de Outubro de 1999 (ainda não publicada no Jornal Oficial). Decisão do Conselho de 30 de Novembro de 1999.
essenciais específicos dos produtos de assinatura electró-nica, de modo a garantir a livre circulação no mercado interno e criar confiança nas assinaturas electrónicas, sem prejuízo do disposto no Regulamento (CE) n.o 3381/94 do Conselho, de 19 de Dezembro de 1994, que institui um regime comunitário de controlo da exportação de bens de dupla utilização (5), e da Decisão 94/942/PESC do Conselho, de 19 de Dezembro de 1994, relativa à acção comum, adoptada pelo Conselho respeitante ao controlo da exportação de bens de dupla utilização (6);
- A presente directiva não procura harmonizar a prestação de serviços no que diz respeito à confidencialidade da informação quando estes são abrangidos por disposições nacionais em matéria de ordem pública ou de segurança pública;
- O mercado interno implica a livre circulação de pessoas, em resultado da qual os cidadãoes e residentes na União Europeia necessitam cada vez mais de entrar em contacto com autoridades de Estados-Membros dife-rentes daquele em que residem; a disponibilidade de comunicações electrónicas pode prestar um grande serviço nesta matéria;
- O rápido desenvolvimento tecnológico e o carácter global da Internet exigem uma abordagem aberta às diversas tecnologias e serviços, capazes de autenticar electronicamente os dados;
- As assinaturas electrónicas serão utilizadas em circuns-tâncias e aplicações muito variadas, dando origem a uma ampla gama de novos serviços e produtos relacionados com, ou utilizando, assinaturas electrónicas; a definição desses produtos e serviços não se deve limitar à emissão e gestão de certificados, devendo igualmente abarcar todos os outros serviços e produtos que utilizam ou são auxiliares das assinaturas electrónicas, tais como serviços de registo, serviços de aposição de datas, serviços de repertório, serviços informáticos ou serviços de consulta-doria relacionada com assinaturas electrónicas;
- O mercado interno permite que os prestadores de serviços de certificação desenvolvam as suas actividades transfronteiriças a fim de aumentarem a sua competitivi-dade, oferecendo assim aos consumidores e às empresas novas oportunidades de intercâmbio de informação e de comércio por meios electrónicos de modo seguro, inde-pendentemente das fronteiras; para estimular a oferta de serviços de certificação à escala comunitária através de redes abertas, os prestadores de serviços de certificação devem poder fazê-lo sem necessidade de autorização prévia; a autorização prévia significa não só uma
- JO L 367 de 31.12.1994, p. 1. Regulamento alterado pelo Regula-mento (CE) n.o 837/95 (JO L 90 de 21.4.1995, p. 1).
- JO L 367 de 31.12.1994, p. 8. Decisão com a última redacção que lhe foi dada pela Decisão 1999/193/PESC (JO L 73 de 17.3.1999, p. 1).
autorização pela qual o prestador de serviços de certifi-cação obteve uma decisão das autoridades nacionais antes de ser autorizado a prestar serviços de certificação, referindo-se igualmente a quaisquer outras medidas que produzam o mesmo efeito;
- Os regimes de acreditação facultativa visando níveis mais elevados na oferta de serviços podem proporcionar aos prestadores de serviços de certificação o quadro adequado para desenvolverem os seus serviços, de modo a atingirem os níveis de confiança, segurança e qualidade exigidos por este mercado em evolução; tais regimes devem encorajar o desenvolvimento de boas práticas entre os prestadores de serviços de certificação; os pres-tadores de serviços de certificação devem ter a liberdade de aderir a estes regimes de acreditação e deles benefi-ciar;
- Deve existir a possibilidade de os serviços de certificação serem prestados tanto por uma entidade pública, como por uma pessoa singular ou colectiva, quando estabele-cida nos termos da legislação nacional; os Estados–Membros não devem proibir os prestadores de serviços de certificação de operarem fora dos regimes de acredi-tação voluntários; deve garantir-se que esses regimes de acreditação não reduzam a concorrência nos serviços de certificação;
- Os Estados-Membros podem decidir o modo como procedem ao controlo da observância das disposições da presente directiva; a presente directiva não impede a criação de sistemas de controlo baseados no sector privado; a presente directiva não obriga os prestadores de serviços de certificação a solicitarem que eles próprios sejam objecto de controlo, de acordo com eventuais disposições aplicáveis em matéria de sistemas de acredi-tação;
- É importante obter um equilíbrio entre as necessidades dos consumidores e as das empresas;
- O anexo III contém os requisitos relativos aos disposi-tivos seguros de criação de assinaturas electrónicas, por forma a garantir a funcionalidade das assinaturas electró-nicas avançadas; este anexo não abrange a totalidade da arquitectura do sistema em que esses dispositivos evoluem; o funcionamento do mercado interno exige que a Comissão e os Estados-Membros actuem rapida-mente, a fim de permitir a designação das entidades encarregadas de avaliar a conformidade dos dispositivos seguros de assinatura com os requisitos constantes do anexo III; para satisfazer as necessidades do mercado, a avaliação da conformidade deve ser feita em tempo útil e de forma eficaz;
- A presente directiva contribui para a utilização e o reco-nhecimento legal das assinaturas electrónicas na Comu-nidade; não é necessário um quadro regulamentar para as assinaturas electrónicas utilizadas exclusivamente no âmbito de sistemas fechados que assentam em acordos voluntários de direito privado entre um número deter-minado de participantes; a liberdade de as partes acor-darem entre si os termos e condições em que aceitam dados assinado electronicamente deve ser respeitada, dentro dos limites permitidos pela lei nacional; as assina-turas electrónicas utilizadas no âmbito de tais sistemas deverão produzir efeitos legais e ser admitidas como meios de prova em processos judiciais;
- A presente directiva não tem por objectivo harmonizar as disposições nacionais relativas à legislação contratual, designadamente a celebração e a execução de contratos, ou outras formalidades de natureza não contratual que exigem assinaturas; por esse motivo, as disposições rela-tivas aos efeitos legais das assinaturas electrónicas não devem prejudicar os requisitos formais constantes da legislação nacional no que respeita à celebração de contratos ou às regras relativas à forma, que determinam o lugar onde um contrato é validamente celebrado;
- O arquivo e a cópia de dados de criação de assinaturas pode pôr em causa o reconhecimento legal das assina-turas electrónicas;
- As assinaturas electrónicas serão utilizadas no sector público no âmbito das administrações nacionais e comu-nitárias e nas comunicações entre essas administrações, assim como com os cidadãos e os operadores econó-micos, por exemplo em contratos públicos, em matéria de sistemas de fiscalidade, de segurança social, de saúde e judiciário;
- A definição de critérios harmonizados relativos aos efeitos legais das assinaturas electrónicas, criará um quadro legal comunitário coerente em toda a Comuni-dade; as legislações nacionais determinam os diferentes requisitos para o reconhecimento legal das assinaturas manuscritas; podem ser utilizados certificados para confirmar a identidade de uma pessoa que assine electro-nicamente; a existência de certificados qualificados e de assinaturas electrónicas avançadas tem por objectivo obter um nível de segurança mais elevado; as assinaturas electrónicas avançadas baseadas num certificado qualifi-cado e criadas por um dispositivo seguro de criação de assinaturas apenas podem ser consideradas como juridi-camente equivalentes às assinaturas manuscritas se obedecerem aos requisitos que para estas são exigidos;
- Para contribuir para uma aceitação generalizada dos métodos de reconhecimento das assinaturas electrónicas, deve garantir-se que estas possam ser utilizadas como elementos de prova para efeitos processuais perante as jurisdições de todos os Estados-Membros; o reconheci-mento legal das assinaturas electrónicas deve basear-se em critérios objectivos e não estar ligado à autorização do prestador de serviços de certificação envolvido; a determinação dos domínios legais em que podem ser utilizados documentos electrónicos e assinaturas electró-nicas é regida pelas legislações nacionais; a presente directiva não prejudica o poder de tribunais nacionais decidirem quanto à conformidade com os requisitos da presente directiva, nem afecta as disposições nacionais em matéria de liberdade de apreciação judicial das provas;
- Os prestadores de serviços de certificação que prestam os seus serviços ao público estão sujeitos às disposições nacionais em matéria de responsabilidade;
- O desenvolvimento do comércio electrónico interna-cional exige disposições transfronteiriças, que envolvam países terceiros; a fim de assegurar a interoperabilidade a nível mundial, poderá ser útil celebrar acordos com países terceiros sobre regras multilaterais aplicáveis ao reconhecimento mútuo de serviços de certificação;
- Para estimular a confiança dos utilizadores nas comuni-cações electrónicas e no comércio electrónico, os presta-dores de serviços de certificação devem observar a legis-lação relativa à protecção dos dados e da vida privada dos cidadãos;
- As disposições relativas à utilização de pseudónimos em certificados não deve impedir os Estados-Membros de exigir a identificação das pessoas, nos termos da legis-lação comunitária ou nacional;
- As medidas necessárias à execução da presente directiva serão adoptadas nos termos da Decisão 1999/468/CE do Conselho, de 28 de Junho de 1999, que fixa as regras de exercício das competências de execução atribuídas à Comissão (1);
- A Comissão procederá à revisão da presente directiva, no prazo de dois anos após a sua entrada em vigor, nomeadamente para garantir que o progresso da tecno-logia ou as modificações do quadro legal não venham a criar obstáculos à prossecução dos objectivos por ela visados; a Comissão deveria analisar as implicações das questões de ordem técnica conexas e apresentar um relatório sobre esta matéria ao Parlamento Europeu e ao Conselho;
- De acordo com os princípios da subsidiariedade e da proporcionalidade, tal como constam do artigo 5.o do Tratado, o objectivo da criação de um quadro legal harmonizado para a oferta de assinaturas electrónicas e serviços conexos não pode ser suficientemente realizado pelos Estados-Membros e pode, pois, ser melhor alcan-çado pela Comunidade; as disposições da presente direc-tiva não excedem o necessário para atingir esse objec-tivo,
ADOPTARAM A PRESENTE DIRECTIVA:
Artigo 1.o
Âmbito de aplicação
A presente directiva tem por objectivo facilitar a utilização das assinaturas electrónicas e contribuir para o seu reconhecimento legal. Institui um quadro legal comunitário para assinaturas electrónicas e para serviços de certificação, a fim de garantir o funcionamento adequado do mercado interno.
A presente directiva não cobre aspectos relacionados com a celebração e a validade de contratos ou a constituição de outras obrigações legais para os quais a legislação nacional ou comu-nitária preveja determinados requisitos em matéria de forma, nem afecta as normas e as restrições constantes da legislação, nacional ou comunitária, que regem a utilização de docu-mentos.
Artigo 2.o
Definições
Para efeitos da presente directiva, entende-se por:
- «Assinatura electrónica», os dados sob forma electrónica, ligados ou logicamente associados a outros dados electró-
(1) JO L 184 de 17.7.1999, p. 23.
nicos, e que sejam utilizados como método de autenti-cação.
- «Assinatura electrónica avançada», uma assinatura electró-nica que obedeça aos seguintes requisitos:
- Estar associada inequivocamente ao signatário;
- Permitir identificar o signatário;
- Ser criada com meios que o signatário pode manter sob seu controlo exclusivo; e
- Estar ligada aos dados a que diz respeito, de tal modo que qualquer alteração subsequente dos dados seja detectável.
- «Signatário», uma pessoa singular que detém um disposi-tivo de criação de assinaturas e o utiliza em seu próprio nome, ou em nome da pessoa singular ou colectiva ou da entidade que representa.
- «Dados de criação de assinaturas», um conjunto único de dados, como códigos ou chaves criptográficas privadas, usado pelo signatário para a criação de uma assinatura electrónica.
- «Dispositivo de criação de assinaturas», um logicial confi-gurado ou dispositivo de equipamento utilizado para possibilitar o tratamento dos dados de criação de assina-turas.
- «Dispositivo seguro de criação de assinaturas», um disposi-tivo de criação de assinaturas conforme com os requisitos constantes do anexo III.
- «Dados de verificação de assinaturas», um conjunto de dados, como códigos ou chaves criptográficas públicas, usado para verificar a assinatura electrónica.
- «Dispositivo de verificação de assinaturas», um logicial configurado ou dispositivo de equipamento utilizado no tratamento dos dados de verificação de assinaturas.
- «Certificado», um atestado electrónico que liga os dados de verificação de assinaturas a uma pessoa e confirma a iden-tidade dessa pessoa.
- «Certificado qualificado», um certificado que obedece aos requisitos constantes do anexo I e é fornecido por um prestador de serviços de certificação que cumpre os requi-sitos constantes do anexo II.
- «Prestador de serviços de certificação», uma entidade ou uma pessoa singular ou colectiva que emite certificados ou presta outros serviços relacionados com assinaturas elec-trónicas.
- «Produto de assinatura electrónica», os meios físicos ou lógicos, ou seus componentes quer destinados a ser utili-zados por um prestador de serviços de certificação na prestação dos seus serviços de assinatura electrónica, quer destinados a ser utilizados na criação ou verificação de assinaturas electrónicas.
- «Acreditação facultativa», qualquer autorização que estabe-leça direitos e obrigações específicos para a prestação de serviços de certificação, concedida, a pedido do prestador, pela entidade pública ou privada encarregada da elabo-ração desses direitos e obrigações e do controlo do seu cumprimento, quando o prestador de serviços de certifi-cação não possa exercer os direitos decorrentes da autori-zação antes de ser informado da decisão daquela entidade.
Artigo 3.o
Acesso ao mercado
- Os Estados-Membros não devem sujeitar a prestação de serviços de certificação a autorização prévia.
- Sem prejuizo do disposto non.o 1, os Estados-Membros podem introduzir ou manter regimes de acreditação faculta-tivos que se destinem a obter niveis mais elevados na oferta dos serviços de certificação. Todas as condições relacionadas com estes regimes devem ser objectivas, transparentes, proporcio-nadas e não discriminatórias. Os Estados-Membros não devem limitar o número de prestadores de serviços de certificação acreditados por motivos abrangidos pela presente directiva.
- Os Estados-Membros assegurarão a criação de um sistema adequado de controlo de prestadores de serviços de certificação estabelecidos no seu território que procedem à emissão de certificados qualificados destinados ao público.
- A conformidade dos dispositivos seguros de criação de assinaturas com os requisitos constantes do anexo III é avaliada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros. A Comissão, nos termos do artigo 9.o, estabelecerá os critérios que os Estados-Membros devem observar para decidir se uma entidade pode ser designada.
A determinação da conformidade com os requisitos constantes do anexo III, efectuada por estas entidades, será reconhecida por todos os Estados-Membros.
- A Comissão pode, nos termos do artigo 9.o, estabelecer e publicar no Jornal Oficial das Comunidades Europeias números de referência de normas largamente reconhecidas para produtos de assinatura electrónica. Os Estados-Membros presumirão a conformidade com os requisitos constantes da alinea f) do anexo II e do anexo III, sempre que um produto de assinatura electrónica obedeça a estas normas.
- Os Estados-Membros e a Comissão cooperarão na promoção do desenvolvimento e utilização de dispositivos de verificação de assinaturas, à luz das recomendações relativas à verificação segura de assinaturas, constantes do anexo IV, e dos interesses dos consumidores.
- Os Estados-Membros podem submeter a utilização de assinaturas electrónicas no sector público a eventuais requisitos adicionais. Esses requisitos devem ser objectivos, transparentes, proporcionados e não discriminatórios e dizer apenas respeito às caracteristicas especificas da utilização especifica em causa. Esses requisitos não devem constituir para o cidadão um obstá-culo aos serviços transfronteiriços.
Artigo 4.o
Princípios relativos ao mercado interno
- Cada Estado-Membro aplicará as disposições nacionais que adoptar de acordo com a presente directiva aos prestadores de serviços de certificação estabelecidos no seu território e aos serviços por eles prestados. Os Estados-Membros não podem restringir a prestação de serviços de certificação com origem
noutro Estado-Membro nos dominios abrangidos pela presente directiva.
- Os Estados-Membros assegurarão que os produtos de assinatura electrónica que sejam conformes com a presente directiva possam circular livremente no mercado interno.
Artigo 5.o
Efeitos legais das assinaturas electrónicas
- Os Estados-Membros assegurarão que as assinaturas elec-trónicas avançadas baseadas num certificado qualificado e criadas através de dispositivos seguros de criação de assina-turas:
- Obedecem aos requisitos legais de uma assinatura no que se refere aos dados sob forma digital, do mesmo modo que uma assinatura manuscrita obedece àqueles requisitos em relação aos dados escritos; e
- São admissiveis como meio de prova para efeitos proces-suais.
- Os Estados-Membros assegurarão que não sejam negados a uma assinatura electrónica os efeitos legais e a admissibili-dade como meio de prova para efeitos processuais apenas pelo facto de:
— se apresentar sob forma electrónica,
— não se basear num certificado qualificado,
— não se basear num certificado qualificado emitido por um prestador de serviços de certificação acreditado,
— não ter sido criada através de um dispositivo seguro de criação de assinaturas.
Artigo 6.o
Responsabilidade
- Os Estados-Membros assegurarão, no minimo, que, ao emitir um certificado qualificado destinado ao público ou ao apor a garantia num certificado destinado ao público, um prestador de serviços de certificação seja responsável por prejuizos causados a qualquer entidade ou pessoa singular ou colectiva que confie, de forma razoável, no certificado, no que respeita:
- À exactidão de todas as informações constantes do certifi-cado qualificado no momento da emissão e à inclusão, no certificado, de todas as indicações prescritas para um certifi-cado reconhecido;
- À garantia de que, no momento da emissão do certificado, a assinatura identificada no certificado qualificado obedecia aos dados de criação de assinaturas correspondentes aos dados de verificação de assinaturas incluidos ou identifi-cados no certificado;
- À garantia de que os dados de criação de assinaturas e os dados de verificação de assinaturas podem ser utilizados de modo complementar, nos casos em que o prestador de serviços de certificação gira ambos os dispositivos;
excepto se o prestador de serviços de certificação provar que não actuou de forma negligente.
- Os Estados-Membros assegurarão, no mínimo, que um prestador de serviços de certificação que tenha emitido um certificado qualificado destinado ao público, seja responsável pelos prejuízos causados a qualquer entidade ou pessoa singular ou colectiva que confie razoavelmente no certificado, por omissão do registo da retirada do certificado, excepto se o prestador de serviços de certificação provar que não actuou de forma negligente.
- Os Estados-Membros assegurarão que um prestador de serviços de certificação possa indicar no certificado qualificado os limites da sua utilização. Estes limites devem ser identificá-veis por terceiros. O prestador de serviços de certificação não será responsável por prejuízos decorrentes da utilização de um certificado qualificado que exceda os limites que lhe são próprios.
- Os Estados-Membros assegurarão que um prestador de serviços de certificação possa indicar no certificado qualificado um limite para o valor das transacções nas quais o certificado pode ser utilizado, desde que esse limite seja identificável por terceiros.
O prestador de serviços de certificação não é responsável por danos resultantes da não observância deste limite máximo.
- As disposições dos n.os 1 a 4 não prejudicam o disposto na Directiva 93/13/CEE do Conselho, de 5 de Abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (1).
Artigo 7.o
Aspectos internacionais
- Os Estados-Membros assegurarão que os certificados emitidos ao público, enquanto certificados qualificados, por um prestador de serviços de certificação estabelecido num país terceiro sejam considerados legalmente equivalentes aos certifi-cados emitidos por um prestador de serviços de certificação estabelecido na Comunidade, desde que:
- O prestador de serviços de certificação obedeça aos requi-sitos constantes da presente directiva e tenha sido acredi-tado sob um regime de acreditação facultativa vigente num Estado-Membro; ou
- O prestador de serviços de certificação estabelecido na Comunidade e que cumpre os requisitos da presente direc-tiva garanta o certificado; ou
- O certificado ou o prestador de serviços de certificação seja reconhecido com base num regime de acordo bilateral ou multilateral entre a Comunidade e países terceiros ou orga-nizações internacionais.
- Para facilitar os serviços de certificação transfronteiriça que envolvam países terceiros e o reconhecimento legal de assinaturas electrónicas avançadas originárias de países terceiros, a Comissão deverá apresentar, sempre que adequado, propostas destinadas a obter a aplicação efectiva de normas e acordos internacionais aplicáveis aos serviços de certificação. Em especial, sempre que necessário, deverá apresentar ao Conselho propostas de mandatos adequados de negociação de acordos bilaterais e multilaterais com países terceiros e organi-
zações internacionais. O Conselho deliberará por maioria quali-ficada.
- Sempre que a Comissão seja informada de eventuais difi-culdades encontradas pelas empresas comunitárias no que diz respeito ao acesso ao mercado de países terceiros, poderá, se necessário, apresentar ao Conselho propostas sobre um mandato adequado de negociação de direitos comparáveis para as empresas comunitárias nesses países terceiros. O Conselho deliberará por maioria qualificada.
As medidas adoptadas nos termos do presente número não prejudicarão as obrigações da Comunidade e dos Estados–Membros decorrentes dos acordos internacionais pertinentes.
Artigo 8.o
Protecção de dados
- Os Estados-Membros assegurarão que os prestadores de serviços de certificação e os organismos nacionais responsáveis pela acreditação ou controlo cumpram os requisitos constantes da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (2).
- Os Estados-Membros garantirão que um prestador de serviços de certificação que emite certificados destinados ao público só possa recolher dados pessoais directamente junto da pessoa a quem esses dados dizem respeito, ou depois de obtido o seu consentimento expresso e apenas na medida do neces-sário para a emissão e manutenção do certificado. Os dados não podem ser recolhidos ou processados para quaisquer outros fins sem o consentimento explícito da pessoa a quem os dados dizem respeito.
- Sem prejuízo dos efeitos legais dos pseudónimos nas legislações nacionais, os Estados-Membros não poderão impedir que os prestadores de serviços de certificação indiquem no certificado um pseudónimo em vez do nome do signatário.
Artigo 9.o
Comité
- A Comissão será assistida pelo «Comité da Assinatura Electrónica», a seguir designado por «comité».
- Sempre que se faça referência ao presente número, são aplicáveis os artigos 4.o e 7.o da Decisão 1999/468/CE, tendo em conta o disposto no seu artigo 8.o
O período previsto no n.o 3 do artigo 4.o da Decisão 1999/ /468/CE é fixado em três meses.
- O comité aprovará o seu regulamento interno.
Artigo 10.o
Competências do comité
O comité procederá à clarificação dos requisitos constantes dos anexos, ao estabelecimento dos critérios referidos no n.o 4 do artigo 3.o e das normas geralmente reconhecidas para produtos de assinatura electrónica estabelecidos e publicados nos termos do n.o 5 do artigo 3.o nos termos do n.o 2 do artigo 9.o
(1) JO L 95 de 21.4.1993, p. 29. (2) JO L 281 de 23.11.1995, p. 31.
Artigo 11.o
Notificação
- Os Estados-Membros notificarão a Comissão e os outros Estados-Membros do seguinte:
- Elementos relativos aos regimes nacionais de acreditação facultativa, incluindo eventuais requisitos suplementares, nos termos do n.o 7 do artigo 3.o;
- Nomes e endereços dos organismos nacionais responsáveis pela acreditação e controlo e das entidades referidas no n.o 4 do artigo 3.o;
- Nomes e endereços de todos os prestadores de serviços de certificação nacionais acreditados.
- Todas as informações prestadas nos termos do n.o 1 e eventuais alterações respeitantes a essas informações serão noti-ficadas pelos Estados-Membros, no mais breve prazo.
Artigo 12.o
Revisão
- A Comissão procederá à reavaliação do funcionamento da presente directiva e apresentará um primeiro relatório sobre esta matéria ao Parlamento Europeu e ao Conselho, o mais tardar até 19 de Julho de 2003.
- A reavaliação determinará, nomeadamente, a eventual alteração do âmbito da directiva, tendo em conta a evolução da tecnologia, do mercado e da legislação. O relatório incluirá, em especial, uma avaliação, com base na experiência adquirida, das questões ligadas à harmonização. O relatório será eventual-mente acompanhado de propostas legislativas.
Artigo 13.o
Aplicação
- Os Estados-membros porão em vigor as disposições legis-lativas, regulamentares e administrativas necessárias para darem cumprimento à presente directiva, até 19 de Julho de 2001. Os Estados-Membros informarão imediatamente a Comissão desse facto.
Quando os Estados-Membros adoptarem tais disposições, estas devem incluir uma referência à presente directiva ou ser acom-panhadas dessa referência aquando da sua publicação oficial. As modalidades dessa referência serão adoptadas pelos Estados–Membros.
- Os Estados-Membros comunicarão à Comissão o texto das principais disposições de direito nacional que venham a adoptar no domínio regido pela presente directiva.
Artigo 14.o
Entrada em vigor
A presente directiva entrará em vigor na data da sua publicação no Jornal Oficial das Comunidades Europeias.
Artigo 15.o
Destinatários
Os Estados-Membros são os destinatários da presente directiva.
Feito em Bruxelas, em 13 de Dezembro de 1999.
ANEXO III
Requisitos respeitantes aos dispositivos seguros de criação de assinaturas electrónicas
- Os dispositivos seguros de criação de assinaturas devem assegurar, pelo menos, através de meios técnicos e processuais adequados, que:
- Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura só podem ocorrer, em termos práticos, uma única vez, e que a confidencialidade desses dados se encontra razoavelmente assegurada;
- Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura não podem, com uma segurança razoável, ser deduzidos de outros dados e que esta está protegida contra falsificações realizadas através das tecnologias actualmente disponíveis;
- Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura podem ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.
- Os dispositivos seguros de criação de assinaturas não devem modificar os dados que carecem de assinatura, nem impedir que esses dados sejam apresentados ao signatário antes do processo de assinatura.
ANEXO IV
Recomendações relativas à verificação segura de assinaturas
Durante o processo de verificação de assinaturas dever-se-á garantir, com uma razoável certeza, que:
- Os dados utilizados para verificar as assinaturas correspondem aos dados exibidos ao verificador;
- A assinatura é verificada com fiabilidade e o resultado dessa verificação é exibido correctamente;
- O verificador pode, se necessário, definir com fiabilidade o conteúdo dos dados assinados;
- A autenticidade e a validade do certificado solicitadas no momento da verificação da assinatura são verificadas com fiabilidade;
- O resultado da verificação e a identidade do signatário são exibidas de forma correcta;
- A utilização de um pseudónimo é claramente indicada;
- Podem ser detectadas eventuais alterações pertinentes em matéria de segurança.