de 9 de fevereiro
Sumário: Assegura a execução na ordem jurídica interna do Regulamento (UE) 910/2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
O Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (Regulamento), veio substituir a Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro, que instituiu um quadro legal comunitário para as assinaturas eletrónicas e cuja transposição foi assegurada na ordem jurídica nacional pelo Decreto-Lei 62/2003, de 3 de abril, na sua redação atual.
A adoção do Regulamento teve como objetivo aumentar a confiança e segurança das transações online na União Europeia, promovendo uma maior utilização desses serviços pelos cidadãos, pelos operadores económicos e pela Administração Pública. Para o efeito, o Regulamento passou a regular, a par da matéria das assinaturas eletrónicas, os selos eletrónicos, os selos temporais, a marca de confiança «UE», os serviços de envio registado eletrónico e os serviços de certificados para autenticação de sítios web.
Ainda que o Regulamento seja obrigatório e diretamente aplicável na ordem jurídica portuguesa, incumbe aos Estados-Membros assegurar a sua execução nos respetivos ordenamentos. Nesse sentido, importa designar e dotar as autoridades portuguesas das competências para realizar as atividades de supervisão previstas no Regulamento, bem como definir o quadro sancionatório aplicável em caso de infração das normas do Regulamento.
Paralelamente, aproveita-se a oportunidade para consolidar a legislação existente tanto sobre a validade, eficácia e valor probatório dos documentos eletrónicos, como sobre o Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas.
Foram ouvidos os órgãos de governo próprio das Regiões Autónomas e o Conselho Gestor do Sistema de Certificação Eletrónica do Estado.
Assim:
Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
O presente decreto-lei:
a) Assegura a execução na ordem jurídica interna do Regulamento (UE) 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado (Regulamento);
b) Regula a validade, eficácia e valor probatório dos documentos eletrónicos, o reconhecimento e aceitação, na ordem jurídica portuguesa, dos meios de identificação eletrónica de pessoas singulares e coletivas e prevê as normas aplicáveis ao Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas (SCEE).
Artigo 2.º
Âmbito de aplicação
O presente decreto-lei aplica-se:
a) Aos documentos eletrónicos elaborados por particulares e pela Administração Pública;
b) Aos sistemas de identificação eletrónica que sejam notificados pelos Estados-Membros da União Europeia ao abrigo dos artigos 7.º e 9.º do Regulamento, em tudo o que não se encontre neste previsto.
CAPÍTULO II
Documentos eletrónicos
Artigo 3.º
Forma e força probatória
1 - O documento eletrónico satisfaz o requisito legal de forma escrita quando o seu conteúdo seja suscetível de representação como declaração escrita.
2 - A aposição de uma assinatura eletrónica qualificada a um documento eletrónico equivale à assinatura autógrafa dos documentos com forma escrita sobre suporte de papel e cria a presunção de que:
a) A pessoa que apôs a assinatura eletrónica qualificada é o titular desta ou é representante, com poderes bastantes, da pessoa coletiva em causa;
b) A assinatura eletrónica qualificada foi aposta com a intenção de assinar o documento eletrónico;
c) O documento eletrónico não sofreu alteração desde que lhe foi aposta a assinatura eletrónica qualificada.
3 - A assinatura eletrónica qualificada deve referir-se inequivocamente a uma só pessoa singular ou representante da pessoa coletiva e ao documento ao qual é aposta.
4 - A aposição de assinatura eletrónica qualificada que conste de certificado que esteja revogado, caduco ou suspenso na data da aposição, ou não respeite as condições dele constantes, equivale à falta de assinatura, sendo o documento apreciado nos termos do n.º 10.
5 - Quando lhe seja aposta uma assinatura eletrónica qualificada, o documento eletrónico com o conteúdo referido no n.º 1 tem a força probatória de documento particular assinado, nos termos do artigo 376.º do Código Civil, aprovado pelo Decreto-Lei 47 344, de 25 de novembro de 1966, na sua redação atual.
6 - Quando lhe seja aposta uma assinatura eletrónica qualificada, o documento eletrónico cujo conteúdo não seja suscetível de representação como declaração escrita tem a força probatória prevista no artigo 368.º do Código Civil e no artigo 167.º do Código de Processo Penal, aprovado pelo Decreto-Lei 78/87, de 17 de fevereiro, na sua redação atual.
7 - A aposição de um selo eletrónico qualificado faz presumir, nos termos do n.º 2 do artigo 35.º do Regulamento, a origem e a integridade do documento eletrónico.
8 - A aposição de um selo temporal qualificado faz presumir, nos termos do n.º 2 do artigo 41.º do Regulamento, a exatidão da data e hora por ele indicados e a integridade do documento eletrónico.
9 - O disposto nos números anteriores não obsta à utilização de outro meio de identificação eletrónica, de comprovação da integridade, de correção da origem dos dados ou ainda de atestação temporal de documentos eletrónicos, incluindo outras modalidades de assinatura eletrónica, desde que tal meio seja adotado pelas partes ao abrigo de válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento.
10 - Salvo disposição especial, o valor probatório dos documentos eletrónicos não associados a serviços de confiança qualificados é apreciado nos termos gerais do direito.
11 - As cópias de documentos eletrónicos, sobre idêntico ou diferente tipo de suporte que não permita a verificação e validação das assinaturas eletrónicas ou dos selos eletrónicos, são válidas e eficazes nos termos gerais de direito e têm a força probatória atribuída às cópias fotográficas pelo n.º 2 do artigo 387.º do Código Civil e pelo artigo 168.º do Código de Processo Penal, caso sejam observados os requisitos aí previstos.
Artigo 4.º
Documentos eletrónicos das entidades públicas
Nas operações relativas à criação, emissão, arquivo, reprodução, cópia e transmissão de documentos eletrónicos que formalizem atos administrativos através de sistemas informáticos, incluindo a sua transmissão por meios de comunicação eletrónica, os dados relativos à entidade emitente e à pessoa que tenha praticado cada ato administrativo devem ser indicados de forma a torná-los facilmente identificáveis e a comprovar a função ou cargo desempenhado pela pessoa signatária de cada documento.
Artigo 5.º
Comunicação de documentos eletrónicos
1 - O documento eletrónico comunicado por um meio de comunicação eletrónica considera-se enviado e recebido pelo destinatário se for transmitido para o endereço eletrónico definido por acordo das partes e neste for recebido.
2 - São oponíveis entre as partes e a terceiros a data e a hora da criação, da expedição ou da receção de um documento eletrónico que contenha uma validação cronológica emitida por um prestador qualificado de serviços de confiança.
3 - A comunicação do documento eletrónico ao qual seja aposta assinatura eletrónica qualificada ou selo eletrónico qualificado, por meios de comunicação eletrónica que assegure a efetiva receção, equivale à remessa por via postal registada e, se a receção for comprovada por mensagem de confirmação dirigida ao remetente pelo destinatário que revista idêntica forma, equivale à remessa por via postal registada com aviso de receção.
4 - A comunicação de dados e documentos com recurso a serviços qualificados de envio registado eletrónico, nos termos definidos nos artigos 43.º e 44.º do Regulamento, equivale à remessa por via postal registada com aviso de receção.
CAPÍTULO III
Funções das entidades e organismos nacionais
Artigo 6.º
Entidade supervisora
O Gabinete Nacional de Segurança (GNS) é a entidade supervisora para efeitos do disposto na alínea b) do n.º 1 do artigo 9.º e no artigo 17.º do Regulamento, competindo-lhe, ainda, elaborar e gerir as listas de confiança nos termos previstos no artigo 22.º do Regulamento.
Artigo 7.º
Notificação dos sistemas de identificação eletrónica
A Agência para a Modernização Administrativa, I. P. (AMA, I. P.), é a entidade competente para a notificação dos sistemas de identificação eletrónica junto da Comissão Europeia, de acordo com o disposto no artigo 9.º e para efeitos de reconhecimento nos termos do artigo 6.º, ambos do Regulamento.
Artigo 8.º
Organismo nacional de acreditação
O organismo nacional de acreditação é o Instituto Português de Acreditação, I. P. (IPAC, I. P.), tendo como função a acreditação dos organismos de avaliação da conformidade.
Artigo 9.º
Organismos de avaliação da conformidade
1 - Os organismos de avaliação da conformidade procedem à certificação dos prestadores de serviços de confiança nos termos previstos no Regulamento e no presente decreto-lei.
2 - Os organismos de avaliação da conformidade fornecem ao organismo nacional de acreditação, de modo pronto e exaustivo, todas as informações que este lhes solicite para fins de avaliação da sua atividade e facultam-lhe para os mesmos fins o acesso às instalações e o exame local de documentos, objetos, equipamentos de hardware e software e procedimentos operacionais.
CAPÍTULO IV
Serviços de confiança
Artigo 10.º
Prestadores de serviços de confiança
São prestadores de serviços de confiança todas as pessoas singulares ou coletivas, públicas ou privadas, que prestem um ou mais serviços de confiança qualificados ou não qualificados, previstos no artigo 3.º do Regulamento.
Artigo 11.º
Deveres de informação
No âmbito da competência de fiscalização da entidade supervisora, os prestadores de serviços de confiança cumprem os seguintes deveres:
a) Fornecer todas as informações que esta lhes solicite;
b) Facultar o acesso às suas instalações e o exame local de documentos, objetos, equipamentos de hardware e software e procedimentos operacionais;
c) Permitir que a entidade supervisora faça as cópias dos registos e dos documentos ou informações que considere necessárias para o exercício das suas funções com respeito pelas disposições legais relativas ao acesso aos documentos administrativos ou à proteção de dados pessoais.
Artigo 12.º
Prestação de serviços de confiança
Sem prejuízo do dever de comunicação em momento anterior à celebração do contrato, os termos e as condições da prestação de serviços de confiança devem ser expressamente aceites pelos utilizadores, independentemente do meio que seja usado.
Artigo 13.º
Deveres do prestador qualificado de serviços de confiança
O prestador qualificado de serviços de confiança deve:
a) Demonstrar a fiabilidade necessária para o exercício da atividade, de acordo com o disposto nos artigos 15.º e 16.º;
b) Adotar medidas adequadas para impedir a falsificação ou alteração dos dados constantes dos certificados e, nos casos em que o prestador qualificado de serviços de confiança gere dados de criação de assinaturas, garantir a sua confidencialidade durante o processo de criação;
c) Garantir que os dados de criação de assinatura utilizados para assinar certificados qualificados são exclusivos, não podendo ser utilizados para assinar outro tipo de certificados;
d) Verificar rigorosamente a identidade dos requerentes titulares dos certificados e, tratando-se de representantes de pessoas coletivas, os respetivos poderes de representação;
e) Conservar os elementos que comprovem a verdadeira identidade dos requerentes titulares de certificados com pseudónimo;
f) Conservar, em suporte físico ou eletrónico, os documentos e registos relativos à prestação destes serviços durante sete anos após o fim da validade do respetivo certificado.
Artigo 14.º
Pedido de atribuição do estatuto de prestador qualificado de serviços de confiança
1 - A entidade supervisora define e publica no seu sítio na Internet o formulário eletrónico necessário para requerer o estatuto de prestador qualificado de serviços de confiança.
2 - O formulário deve ser preenchido e submetido eletronicamente, devidamente acompanhado de toda a documentação complementar necessária, nos termos do artigo seguinte.
Artigo 15.º
Atribuição do estatuto de prestador qualificado de serviços de confiança
O estatuto de prestador qualificado de serviços de confiança é atribuído pela entidade supervisora e pressupõe que os prestadores de serviços de confiança satisfaçam os seguintes requisitos:
a) Cumpram os requisitos definidos no Regulamento;
b) Estejam dotados de capital e meios financeiros adequados, em conformidade com o artigo 18.º;
c) Deem garantias de absoluta idoneidade, integridade e independência no exercício da atividade, nos termos previstos no artigo 19.º;
d) Tenham um contrato de seguro válido para a cobertura adequada da responsabilidade civil emergente da atividade de prestação de serviços de confiança, nos termos previstos no artigo 20.º;
e) Possuam uma certificação válida para os serviços que pretendem prestar com o estatuto de qualificado, conforme previsto no artigo 9.º
Artigo 16.º
Auditorias periódicas
1 - Sem prejuízo do disposto no n.º 2 do artigo 20.º do Regulamento, os prestadores qualificados de serviços de confiança estão sujeitos a auditorias anuais a contar da data de início da auditoria inicial, nos seguintes termos:
a) Auditorias completas, pelo menos a cada 24 meses;
b) Auditorias de acompanhamento, nos anos em que não se realizem as auditorias completas.
2 - As auditorias referidas no número anterior são efetuadas por um organismo de avaliação da conformidade acreditado, nos termos definidos no artigo 20.º do Regulamento.
3 - Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade, elaborado pelo organismo de avaliação da conformidade, à entidade supervisora no prazo de três dias úteis após a sua receção.
4 - Os prestadores qualificados de serviços de confiança devem evidenciar durante as auditorias, ou a pedido do organismo de avaliação de conformidade que realiza a auditoria, o cumprimento dos requisitos do Regulamento e dos deveres previstos nos artigos 13.º e 15.º do presente decreto-lei, devendo, para tal, colaborar com os organismos de avaliação da conformidade e mantê-los informados de qualquer alteração que possa causar um incumprimento do Regulamento ou do presente decreto-lei.
Artigo 17.º
Revogação do estatuto de prestador qualificado de serviços de confiança
O estatuto de prestador qualificado de serviços de confiança é revogado sempre que se deixem de verificar as condições definidas nos artigos 13.º e 15.º e nos n.os 1 e 2 do artigo anterior.
Artigo 18.º
Requisitos patrimoniais
1 - Os prestadores de serviços de confiança privados que sejam pessoas coletivas devem ter um capital social mínimo de (euro) 200 000, integralmente realizado.
2 - Os prestadores de serviços de confiança privados que sejam pessoas singulares devem ter um património livre de quaisquer ónus com um valor mínimo de (euro) 200 000.
Artigo 19.º
Requisitos de idoneidade
1 - A pessoa singular e, no caso de pessoa coletiva, os membros dos órgãos de administração e fiscalização, colaboradores, comissários e outros que representem os prestadores de serviços de confiança com acesso aos atos e instrumentos de certificação, os sócios da sociedade e, tratando-se de sociedade anónima, os acionistas com participações significativas, devem ser sempre pessoas de reconhecida idoneidade.
2 - Entre outras circunstâncias atendíveis, considera-se indiciador de falta de idoneidade o facto de a pessoa ter sido:
a) Condenada, no país ou no estrangeiro, por sentença transitada em julgado por crime de furto, roubo, burla, burla informática e nas comunicações, extorsão, abuso de confiança, infidelidade, falsificação, falsas declarações, insolvência dolosa, insolvência negligente, favorecimento de credores, emissão de cheques sem provisão, abuso de cartão de garantia ou de crédito, apropriação ilegítima de bens do setor público ou cooperativo, administração danosa em unidade económica do setor público ou cooperativo, usura, suborno, corrupção, receção não autorizada de depósitos ou outros fundos reembolsáveis, prática ilícita de atos ou operações inerentes à atividade seguradora ou dos fundos de pensões, branqueamento de capitais, abuso de informação, manipulação do mercado de valores mobiliários ou crime previsto no Código das Sociedades Comerciais;
b) Declarada insolvente por sentença judicial, em fase de liquidação, dissolução ou cessação de atividade, sujeitas a qualquer meio preventivo de liquidação de patrimónios ou em qualquer situação análoga, ou tenham o respetivo processo pendente, salvo quando se encontrar abrangida por um plano de insolvência, ao abrigo da legislação em vigor ou julgada responsável pela insolvência de empresa por ela dominada ou de cujos órgãos de administração ou fiscalização tenha sido membro;
c) Tenham sido objeto de aplicação de sanção administrativa por falta grave em matéria profissional, se entretanto não tiver ocorrido a sua reabilitação, no caso de se tratar de pessoas singulares, ou, no caso de se tratar de pessoas coletivas, tenham sido objeto de aplicação daquela sanção administrativa os titulares dos órgãos sociais de administração, direção ou gerência das mesmas e estes se encontrem em efetividade de funções;
d) Não tenham a sua situação regularizada relativamente a contribuições para a segurança social em Portugal ou, se for o caso, no Estado de que sejam nacionais ou no qual se situe o seu estabelecimento principal;
e) Não tenham a sua situação regularizada perante a administração fiscal relativamente a obrigações devidas em Portugal ou, se for o caso, no Estado de que sejam nacionais ou no qual se situe o seu estabelecimento principal;
f) O não cumprimento dos deveres de informação referidos no artigo 11.º, relativos aos prestadores de serviços de confiança.
3 - Consideram-se participações significativas, para os efeitos do n.º 1, as que igualem ou excedam 10 % do capital da sociedade anónima.
Artigo 20.º
Seguro obrigatório de responsabilidade civil
Os membros do Governo responsáveis pelo GNS e pela área das finanças definem, por portaria, os requisitos do contrato de seguro de responsabilidade civil a que se refere a alínea d) do artigo 15.º
Artigo 21.º
Comunicação de alterações
1 - Devem ser comunicadas à entidade supervisora, no prazo de 30 dias a contar da respetiva ocorrência ou, quando aplicável, do respetivo registo, as alterações relacionadas com prestadores qualificados de serviços de confiança relativas a:
a) Firma ou denominação;
b) Objeto social;
c) Local da sede ou domicílio fiscal;
d) Capital social ou património, sempre que se verifique uma redução igual ou superior a metade do capital social ou do património;
e) Estrutura de administração e de fiscalização;
f) Limitação dos poderes dos órgãos de administração e fiscalização;
g) Cisão, fusão e dissolução;
h) Alterações significativas na infraestrutura de chaves públicas que suporta a prestação dos serviços de confiança;
i) Alteração na estrutura de pessoal com relação direta na prestação de serviços de confiança.
2 - A entidade supervisora define e publica no seu sítio na Internet o formulário eletrónico necessário para a comunicação das alterações referidas no número anterior.
Artigo 22.º
Cessação da atividade
1 - No caso de pretender cessar a sua atividade, o prestador qualificado de serviços de confiança deve comunicar essa intenção à entidade supervisora e às pessoas com quem tenha estabelecido contrato para a prestação de serviços de confiança, com a antecedência mínima de 90 dias, indicando também o prestador qualificado de serviços de confiança à qual é transmitida toda a sua infraestrutura de chaves públicas utilizada para o efeito e toda a documentação relativa à prestação do serviço qualificado.
2 - No caso previsto no número anterior, se tal transmissão for impossível, toda a infraestrutura e documentação referida no número anterior fica à guarda da entidade supervisora.
3 - O prestador qualificado de serviços de confiança deve informar imediatamente a entidade supervisora quando se encontre em situação de insolvência, de processo de recuperação de empresa ou de cessação da atividade por qualquer outro motivo alheio à sua vontade.
4 - No caso previsto no número anterior, se o prestador qualificado de serviços de confiança tiver de cessar a sua atividade, a entidade supervisora promove a transmissão de toda a infraestrutura e documentação referida no n.º 1 para outro prestador qualificado de serviços de confiança, aplicando-se o disposto no n.º 2 se tal transmissão for impossível.
5 - A entidade supervisora define e publica no seu sítio na Internet o formulário eletrónico necessário para a comunicação da cessação da atividade.
CAPÍTULO V
Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas
SECÇÃO I
Disposições gerais
Artigo 23.º
Definição e âmbito
1 - O SCEE visa estabelecer uma estrutura de confiança eletrónica, a fim de que as entidades certificadoras que o integram disponibilizem serviços que garantam:
a) A realização de transações eletrónicas seguras;
b) A autenticação eletrónica forte;
c) A autoria, integridade, não repúdio e confidencialidade de transações, informações e documentos eletrónicos.
2 - As entidades certificadoras que integram o SCEE devem cumprir as regras previstas no Regulamento para a prestação de serviços de confiança.
3 - Só as entidades certificadoras do Estado compreendidas no âmbito do SCEE, ou outros prestadores de serviços de confiança reconhecidos por este, podem prestar serviços de confiança às entidades públicas.
Artigo 24.º
Estrutura e funcionamento do Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas
O SCEE compreende:
a) O Conselho Gestor do SCEE;
b) A Entidade de Certificação Eletrónica do Estado;
c) As entidades certificadoras do Estado.
SECÇÃO II
Conselho Gestor do Sistema de Certificação Eletrónica do Estado
Artigo 25.º
Composição e funcionamento do Conselho Gestor do Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas
1 - O Conselho Gestor do SCEE é o órgão responsável pela gestão global e administração do SCEE.
2 - O Conselho Gestor do SCEE é presidido pelo Primeiro-Ministro e composto por representantes de cada uma das seguintes entidades, designados pelos competentes membros do Governo:
a) GNS;
b) Centro de Gestão da Rede Informática do Governo (CEGER);
c) AMA, I. P.;
d) Instituto dos Registos e do Notariado, I. P.;
e) Autoridade Nacional de Comunicações;
f) Instituto de Gestão Financeira e Equipamentos da Justiça, I. P.;
g) Um representante de cada entidade certificadora do Estado que não esteja representada por nenhuma das entidades referidas nas alíneas anteriores.
3 - Para efeitos do disposto na alínea g) do número anterior, caso exista mais do que uma entidade certificadora pública no âmbito da mesma área governativa, pode o respetivo membro do Governo determinar que apenas um representante das mesmas integra o Conselho Gestor do SCEE.
4 - O Primeiro-Ministro pode delegar a presidência do Conselho Gestor do SCEE em outro membro do Governo, com faculdade de subdelegação.
5 - O Conselho Gestor do SCEE pode solicitar a colaboração de outras entidades públicas ou privadas, bem como de personalidades de reconhecido mérito, para a análise de assuntos de natureza técnica especializada, no âmbito das competências que lhe são cometidas pelo presente decreto-lei.
6 - O Conselho Gestor do SCEE reúne de forma ordinária uma vez por ano e de forma extraordinária, por convocação do seu presidente.
7 - O apoio técnico, logístico e administrativo ao Conselho Gestor do SCEE, bem como os encargos inerentes ao seu funcionamento, são da responsabilidade da entidade à qual é atribuída a função de operação da entidade certificadora eletrónica do Estado.
8 - Os membros do Conselho Gestor do SCEE não têm direito a auferir suplemento remuneratório pelo desempenho das suas funções, sem prejuízo da possibilidade do percebimento de abonos ou ajudas de custo, nos termos gerais.
Artigo 26.º
Competências
1 - Compete ao Conselho Gestor do SCEE:
a) Definir a política de certificação a observar pelas entidades certificadoras que integram o SCEE;
b) Garantir que as declarações de práticas de certificação das várias entidades certificadoras do Estado, bem como da entidade certificadora raiz do Estado, estão em conformidade com a política de certificação do SCEE;
c) Propor os critérios para aprovação das entidades certificadoras que pretendam integrar o SCEE;
d) Propor os critérios para aprovação de prestadores de serviços de confiança que pretendam ser reconhecidos no âmbito do SCEE;
e) Aferir a conformidade dos procedimentos seguidos pelas entidades certificadoras do Estado com as políticas e práticas aprovadas, sem prejuízo das competências legalmente cometidas à entidade supervisora;
f) Pronunciar-se pela exclusão de entidades certificadoras que integrem o SCEE em caso de não conformidade com as políticas e práticas aprovadas, comunicando tal facto à entidade supervisora;
g) Pronunciar-se sobre as melhores práticas internacionais no exercício das atividades de certificação eletrónica e propor a sua aplicação;
h) Representar institucionalmente o SCEE.
2 - Compete, ainda, ao Conselho Gestor do SCEE a promoção das atividades necessárias para o estabelecimento de acordos de interoperabilidade, com base em certificação cruzada, com outras infraestruturas de chaves públicas, de natureza privada ou pública, nacionais ou internacionais, nomeadamente:
a) Dar indicações à entidade certificadora raiz do Estado para a atribuição e a revogação de certificados emitidos com base em certificação cruzada;
b) Definir os termos e condições para o início, a suspensão ou a finalização dos procedimentos de interoperabilidade com outras infraestruturas de chaves públicas.
SECÇÃO III
Entidade de Certificação Eletrónica do Estado
Artigo 27.º
Definição e competências
1 - A Entidade de Certificação Eletrónica do Estado, enquanto entidade certificadora raiz do Estado, é o serviço certificador de topo da cadeia de certificação do SCEE.
2 - A Entidade de Certificação Eletrónica do Estado disponibiliza exclusivamente serviços de certificação eletrónica para as entidades certificadoras do Estado.
3 - Compete à Entidade de Certificação Eletrónica do Estado executar as políticas de certificados e diretrizes aprovadas pelo Conselho Gestor do SCEE, admitir a integração das entidades certificadoras que obedeçam aos requisitos estabelecidos no SCEE e prestar os serviços de certificação às entidades certificadoras do Estado, no nível hierárquico imediatamente inferior ao seu na cadeia de certificação.
4 - Compete, ainda, à Entidade de Certificação Eletrónica do Estado:
a) Garantir o cumprimento e a implementação, enquanto entidade certificadora, de todas as regras e todos os procedimentos estabelecidos no documento de políticas de certificação e na declaração de práticas de certificação do SCEE;
b) Implementar as políticas e práticas do Conselho Gestor do SCEE;
c) Gerir toda a infraestrutura e os recursos que compõem e garantem o funcionamento da entidade certificadora raiz do Estado, nomeadamente o pessoal, os equipamentos e as instalações;
d) Gerir todas as atividades relacionadas com a gestão do ciclo de vida dos certificados por si emitidos para as entidades certificadoras de nível imediatamente inferior ao seu;
e) Garantir que o acesso às suas instalações, quer principal, quer alternativa, é efetuado apenas por pessoal devidamente autorizado e credenciado;
f) Gerir o recrutamento de pessoal tecnicamente habilitado para a realização das tarefas de gestão e operação da entidade certificadora raiz do Estado;
g) Comunicar imediatamente qualquer incidente, nomeadamente anomalias ou falhas de segurança, ao Conselho Gestor do SCEE.
5 - A Entidade de Certificação Eletrónica do Estado é dirigida, por inerência, pelo diretor do CEGER.
Artigo 28.º
Autoridade credenciadora
1 - A autoridade credenciadora é o GNS.
2 - O GNS procede à credenciação das entidades certificadoras do Estado, no caso de estas não terem o estatuto de prestador qualificado de serviços de confiança ao abrigo do Regulamento.
3 - A credenciação é válida por um período de dois anos, podendo ser renovada por períodos iguais, mediante novo pedido.
SECÇÃO IV
Entidades certificadoras do Estado
Artigo 29.º
Requisitos
1 - São entidades certificadoras do Estado aquelas que exerçam as funções de prestadores de serviços de confiança, nos termos do Regulamento, e que:
a) Sejam admitidas como entidades certificadoras, de acordo com o n.º 3 do artigo 27.º;
b) Atuem em conformidade com as declarações de práticas de certificação e com a política de certificação e práticas aprovadas pelo Conselho Gestor do SCEE.
2 - As entidades certificadoras do Estado podem requerer o estatuto de prestador qualificado de serviços de confiança junto da entidade supervisora, ficando sujeitas ao regime constante do presente decreto-lei, com exceção dos requisitos definidos nos artigos 18.º a 20.º, bem como da apresentação da documentação comprovativa dos requisitos previstos nas alíneas b) a d) do artigo 15.º
3 - As entidades certificadoras não podem emitir certificados de nível diverso do imediatamente subsequente ao seu, exceto nos casos de acordos de certificação lateral ou cruzada promovidos e aprovados pelo Conselho Gestor do SCEE.
4 - Os serviços de registo podem ser atribuídos a pessoas singulares e coletivas, designadas como entidades de registo, com as quais as entidades certificadoras acordam a prestação de serviços de identificação e registo de utilizadores de certificados, bem como a gestão de pedidos de revogação de certificados.
CAPÍTULO VI
Regime sancionatório
Artigo 30.º
Contraordenações
1 - Constituem contraordenações muito graves:
a) O incumprimento dos requisitos de segurança para prestadores de serviços de confiança definidos no artigo 19.º do Regulamento;
b) A utilização indevida da marca de confiança «UE» para serviços de confiança qualificados, de acordo com estabelecido no artigo 23.º do Regulamento;
c) Iniciar a prestação de serviços de confiança qualificados sem que o estatuto de prestador qualificado tenha sido publicado nas listas de confiança;
d) O não cumprimento, por parte do prestador qualificado de serviços de confiança, dos deveres constantes no artigo 13.º
2 - Constituem contraordenações graves:
a) O não cumprimento, por parte do prestador qualificado de serviços de confiança, dos deveres de informação previstos no artigo 11.º;
b) O não cumprimento, por parte do prestador qualificado de serviços de confiança, dos deveres constantes no artigo 21.º;
c) O não cumprimento, por parte do prestador qualificado de serviços de confiança, do dever de comunicação previsto no n.º 1 do artigo 22.º;
d) O não cumprimento do prazo máximo referido no n.º 3 do artigo 24.º do Regulamento, bem como o fornecimento de informação sobre a validade ou revogação de certificados qualificados, tendo em consideração o referido no n.º 4 do artigo 24.º do Regulamento;
e) Na emissão de certificados qualificados para assinatura eletrónica, o não cumprimento de todos os requisitos estabelecidos no artigo 28.º do Regulamento;
f) Permitir a criação de assinaturas eletrónicas qualificadas com recurso a dispositivos que não cumprem os requisitos definidos no artigo 29.º do Regulamento;
g) Permitir a criação de selos eletrónicos qualificados com recurso a dispositivos que não cumprem os requisitos definidos no artigo 39.º do Regulamento;
h) O fornecimento de serviço de validação de assinaturas eletrónicas qualificadas, sem cumprir os requisitos definidos no artigo 32.º do Regulamento;
i) O fornecimento de serviço qualificado de validação de assinaturas eletrónicas qualificadas, sem cumprir os requisitos definidos no artigo 33.º do Regulamento;
j) O fornecimento de serviço qualificado de preservação de assinaturas eletrónicas qualificadas, sem cumprir os requisitos definidos no artigo 34.º do Regulamento;
k) Na emissão de certificados qualificados para selos eletrónicos, o não cumprimento de todos os requisitos estabelecidos no artigo 38.º do Regulamento;
l) Na validação e preservação dos selos eletrónicos qualificados, o não cumprimento de todos os requisitos estabelecidos no artigo 40.º do Regulamento;
m) Na emissão de selos temporais qualificados, o não cumprimento de todos os requisitos estabelecidos no artigo 42.º do Regulamento;
n) No fornecimento de serviços qualificados de envio registado eletrónico, o não cumprimento de todos os requisitos estabelecidos no artigo 44.º do Regulamento;
o) Na emissão de certificados qualificados de autenticação de sítios web, o não cumprimento de todos os requisitos estabelecidos no artigo 45.º do Regulamento.
Artigo 31.º
Sanções
1 - Às contraordenações muito graves são aplicadas coimas entre (euro) 2500 e (euro) 3740, no caso de pessoas singulares, e entre (euro) 20 000 e (euro) 44 890, no caso de pessoas coletivas.
2 - Às contraordenações graves são aplicadas coimas entre (euro) 500 e (euro) 2500, no caso de pessoas singulares, e entre (euro) 5000 e (euro) 20 000, no caso de pessoas coletivas.
3 - A negligência é punível, sendo os limites mínimos e máximos das coimas aplicáveis reduzidos a metade.
4 - Às contraordenações muito graves, para além da coima, pode ser aplicada, em função da gravidade da infração e da culpa do agente, a sanção acessória de interdição do exercício da atividade de prestação de serviços de confiança até ao período máximo de dois anos.
Artigo 32.º
Processo contraordenacional
1 - Compete ao dirigente máximo da entidade supervisora a instrução e decisão dos processos de contraordenação.
2 - O produto resultante da aplicação das coimas reverte em:
a) 60 % para o Estado;
b) 40 % para a entidade supervisora.
Artigo 33.º
Direito subsidiário
Em tudo o que se não se encontre previsto no presente capítulo aplica-se subsidiariamente o regime geral do ilícito de mera ordenação social, constante do Decreto-Lei 433/82, de 27 de outubro, na sua redação atual.
CAPÍTULO VII
Disposições finais
Artigo 34.º
Dever de colaboração
A entidade supervisora pode solicitar às autoridades policiais e judiciárias e a outras autoridades ou organismos públicos, bem como aos organismos de avaliação da conformidade, de acordo com as suas competências, a colaboração que julgue necessária para a fiscalização dos prestadores de serviços de confiança.
Artigo 35.º
Taxas
1 - Os prestadores qualificados de serviços de confiança e as entidades certificadoras do Estado estão sujeitos ao pagamento de taxas destinadas a cobrir os encargos com a atribuição do estatuto ou da credenciação, com a gestão do sistema de supervisão, bem como com a monitorização e a fiscalização da respetiva atividade em território nacional.
2 - As taxas referidas no número anterior constituem receita do GNS e são definidas por portaria do membro do Governo de que depende o GNS e do membro do Governo responsável pela área das finanças.
Artigo 36.º
Norma revogatória
São revogados:
a) O Decreto-Lei 290-D/99, de 2 de agosto, na sua redação atual;
b) O Decreto-Lei 116-A/2006, de 16 de junho, na sua redação atual;
c) O Decreto Regulamentar 25/2004, de 15 de julho;
d) A Portaria 1370/2000, de 12 de setembro;
e) A Portaria 597/2009, de 4 de junho.
Artigo 37.º
Entrada em vigor
O presente decreto-lei entra em vigor 30 dias após sua publicação, exceto o artigo 20.º e o n.º 2 do artigo 35.º, os quais entram em vigor no dia seguinte ao da publicação do presente decreto-lei.
Visto e aprovado em Conselho de Ministros de 28 de janeiro de 2021. - António Luís Santos da Costa - Pedro Gramaxo de Carvalho Siza Vieira - Augusto Ernesto Santos Silva - Mariana Guimarães Vieira da Silva - João Rodrigo Reis Carvalho Leão - Francisca Eugénia da Silva Dias Van Dunem - Alexandra Ludomila Ribeiro Fernandes Leitão.
Promulgado em 4 de fevereiro de 2021.
Publique-se.
O Presidente da República, Marcelo Rebelo de Sousa.
Referendado em 4 de fevereiro de 2021.
O Primeiro-Ministro, António Luís Santos da Costa.
113955104