Procuradoria-Geral Distrital de Lisboa
Actualidade | Jurisprudência | Legislação pesquisa:

Início  legislação  Exibe diploma

    Legislação
  DL n.º 12/2021, de 09 de Fevereiro
  IDENTIFICAÇÃO ELETRÓNICA E SERVIÇOS DE CONFIANÇA PARA AS TRANSAÇÕES ELETRÓNICAS(versão actualizada)

    Contém as seguintes alterações:     Ver versões do diploma:
   - DL n.º 66-A/2022, de 30/09
   - Lei n.º 79/2021, de 24/11
- 3ª versão - a mais recente (DL n.º 66-A/2022, de 30/09)
     - 2ª versão (Lei n.º 79/2021, de 24/11)
     - 1ª versão (DL n.º 12/2021, de 09/02)
Procurar no presente diploma:
A expressão exacta

Ir para o art.:
 Todos
      Nº de artigos :  11      


 Ver índice sistemático do diploma Abre  janela autónoma para impressão mais amigável  Imprimir todo o diploma
SUMÁRIO
Assegura a execução na ordem jurídica interna do Regulamento (UE) 910/2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno
_____________________
  Artigo 22.º
Cessação da actividade
1 - No caso de pretender cessar a sua atividade, o prestador qualificado de serviços de confiança deve comunicar essa intenção à entidade supervisora e às pessoas com quem tenha estabelecido contrato para a prestação de serviços de confiança, com a antecedência mínima de 90 dias, indicando também o prestador qualificado de serviços de confiança à qual é transmitida toda a sua infraestrutura de chaves públicas utilizada para o efeito e toda a documentação relativa à prestação do serviço qualificado.
2 - No caso previsto no número anterior, se tal transmissão for impossível, toda a infraestrutura e documentação referida no número anterior fica à guarda da entidade supervisora.
3 - O prestador qualificado de serviços de confiança deve informar imediatamente a entidade supervisora quando se encontre em situação de insolvência, de processo de recuperação de empresa ou de cessação da atividade por qualquer outro motivo alheio à sua vontade.
4 - No caso previsto no número anterior, se o prestador qualificado de serviços de confiança tiver de cessar a sua atividade, a entidade supervisora promove a transmissão de toda a infraestrutura e documentação referida no n.º 1 para outro prestador qualificado de serviços de confiança, aplicando-se o disposto no n.º 2 se tal transmissão for impossível.
5 - A entidade supervisora define e publica no seu sítio na Internet o formulário eletrónico necessário para a comunicação da cessação da atividade.


CAPÍTULO V
Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas
SECÇÃO I
Disposições gerais
  Artigo 23.º
Definição e âmbito
1 - O SCEE visa estabelecer uma estrutura de confiança eletrónica, a fim de que as entidades certificadoras que o integram disponibilizem serviços que garantam:
a) A realização de transações eletrónicas seguras;
b) A autenticação eletrónica forte;
c) A autoria, integridade, não repúdio e confidencialidade de transações, informações e documentos eletrónicos.
2 - As entidades certificadoras que integram o SCEE devem cumprir as regras previstas no Regulamento para a prestação de serviços de confiança.
3 - Só as entidades certificadoras do Estado compreendidas no âmbito do SCEE, ou outros prestadores de serviços de confiança reconhecidos por este, podem prestar serviços de confiança às entidades públicas.

  Artigo 24.º
Estrutura e funcionamento do Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas
O SCEE compreende:
a) O Conselho Gestor do SCEE;
b) A Entidade de Certificação Eletrónica do Estado;
c) As entidades certificadoras do Estado.


SECÇÃO II
Conselho Gestor do Sistema de Certificação Eletrónica do Estado
  Artigo 25.º
Composição e funcionamento do Conselho Gestor do Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas
1 - O Conselho Gestor do SCEE é o órgão responsável pela gestão global e administração do SCEE.
2 - O Conselho Gestor do SCEE é presidido pelo Primeiro-Ministro e composto por representantes de cada uma das seguintes entidades, designados pelos competentes membros do Governo:
a) GNS;
b) Centro de Gestão da Rede Informática do Governo (CEGER);
c) AMA, I. P.;
d) Instituto dos Registos e do Notariado, I. P.;
e) Autoridade Nacional de Comunicações;
f) Instituto de Gestão Financeira e Equipamentos da Justiça, I. P.;
g) Um representante de cada entidade certificadora do Estado que não esteja representada por nenhuma das entidades referidas nas alíneas anteriores.
3 - Para efeitos do disposto na alínea g) do número anterior, caso exista mais do que uma entidade certificadora pública no âmbito da mesma área governativa, pode o respetivo membro do Governo determinar que apenas um representante das mesmas integra o Conselho Gestor do SCEE.
4 - O Primeiro-Ministro pode delegar a presidência do Conselho Gestor do SCEE em outro membro do Governo, com faculdade de subdelegação.
5 - O Conselho Gestor do SCEE pode solicitar a colaboração de outras entidades públicas ou privadas, bem como de personalidades de reconhecido mérito, para a análise de assuntos de natureza técnica especializada, no âmbito das competências que lhe são cometidas pelo presente decreto-lei.
6 - O Conselho Gestor do SCEE reúne de forma ordinária uma vez por ano e de forma extraordinária, por convocação do seu presidente.
7 - O apoio técnico, logístico e administrativo ao Conselho Gestor do SCEE, bem como os encargos inerentes ao seu funcionamento, são da responsabilidade da entidade à qual é atribuída a função de operação da entidade certificadora eletrónica do Estado.
8 - Os membros do Conselho Gestor do SCEE não têm direito a auferir suplemento remuneratório pelo desempenho das suas funções, sem prejuízo da possibilidade do percebimento de abonos ou ajudas de custo, nos termos gerais.

  Artigo 26.º
Competências
1 - Compete ao Conselho Gestor do SCEE:
a) Definir a política de certificação a observar pelas entidades certificadoras que integram o SCEE;
b) Garantir que as declarações de práticas de certificação das várias entidades certificadoras do Estado, bem como da entidade certificadora raiz do Estado, estão em conformidade com a política de certificação do SCEE;
c) Propor os critérios para aprovação das entidades certificadoras que pretendam integrar o SCEE;
d) Propor os critérios para aprovação de prestadores de serviços de confiança que pretendam ser reconhecidos no âmbito do SCEE;
e) Aferir a conformidade dos procedimentos seguidos pelas entidades certificadoras do Estado com as políticas e práticas aprovadas, sem prejuízo das competências legalmente cometidas à entidade supervisora;
f) Pronunciar-se pela exclusão de entidades certificadoras que integrem o SCEE em caso de não conformidade com as políticas e práticas aprovadas, comunicando tal facto à entidade supervisora;
g) Pronunciar-se sobre as melhores práticas internacionais no exercício das atividades de certificação eletrónica e propor a sua aplicação;
h) Representar institucionalmente o SCEE.
2 - Compete, ainda, ao Conselho Gestor do SCEE a promoção das atividades necessárias para o estabelecimento de acordos de interoperabilidade, com base em certificação cruzada, com outras infraestruturas de chaves públicas, de natureza privada ou pública, nacionais ou internacionais, nomeadamente:
a) Dar indicações à entidade certificadora raiz do Estado para a atribuição e a revogação de certificados emitidos com base em certificação cruzada;
b) Definir os termos e condições para o início, a suspensão ou a finalização dos procedimentos de interoperabilidade com outras infraestruturas de chaves públicas.


SECÇÃO III
Entidade de Certificação Eletrónica do Estado
  Artigo 27.º
Definição e competências
1 - A Entidade de Certificação Eletrónica do Estado, enquanto entidade certificadora raiz do Estado, é o serviço certificador de topo da cadeia de certificação do SCEE.
2 - A Entidade de Certificação Eletrónica do Estado disponibiliza exclusivamente serviços de certificação eletrónica para as entidades certificadoras do Estado.
3 - Compete à Entidade de Certificação Eletrónica do Estado executar as políticas de certificados e diretrizes aprovadas pelo Conselho Gestor do SCEE, admitir a integração das entidades certificadoras que obedeçam aos requisitos estabelecidos no SCEE e prestar os serviços de certificação às entidades certificadoras do Estado, no nível hierárquico imediatamente inferior ao seu na cadeia de certificação.
4 - Compete, ainda, à Entidade de Certificação Eletrónica do Estado:
a) Garantir o cumprimento e a implementação, enquanto entidade certificadora, de todas as regras e todos os procedimentos estabelecidos no documento de políticas de certificação e na declaração de práticas de certificação do SCEE;
b) Implementar as políticas e práticas do Conselho Gestor do SCEE;
c) Gerir toda a infraestrutura e os recursos que compõem e garantem o funcionamento da entidade certificadora raiz do Estado, nomeadamente o pessoal, os equipamentos e as instalações;
d) Gerir todas as atividades relacionadas com a gestão do ciclo de vida dos certificados por si emitidos para as entidades certificadoras de nível imediatamente inferior ao seu;
e) Garantir que o acesso às suas instalações, quer principal, quer alternativa, é efetuado apenas por pessoal devidamente autorizado e credenciado;
f) Gerir o recrutamento de pessoal tecnicamente habilitado para a realização das tarefas de gestão e operação da entidade certificadora raiz do Estado;
g) Comunicar imediatamente qualquer incidente, nomeadamente anomalias ou falhas de segurança, ao Conselho Gestor do SCEE.
5 - A Entidade de Certificação Eletrónica do Estado é dirigida, por inerência, pelo diretor do CEGER.

  Artigo 28.º
Autoridade credenciadora
1 - A autoridade credenciadora é o GNS.
2 - O GNS procede à credenciação das entidades certificadoras do Estado, no caso de estas não terem o estatuto de prestador qualificado de serviços de confiança ao abrigo do Regulamento.
3 - A credenciação é válida por um período de dois anos, podendo ser renovada por períodos iguais, mediante novo pedido.


SECÇÃO IV
Entidades certificadoras do Estado
  Artigo 29.º
Requisitos
1 - São entidades certificadoras do Estado aquelas que exerçam as funções de prestadores de serviços de confiança, nos termos do Regulamento, e que:
a) Sejam admitidas como entidades certificadoras, de acordo com o n.º 3 do artigo 27.º;
b) Atuem em conformidade com as declarações de práticas de certificação e com a política de certificação e práticas aprovadas pelo Conselho Gestor do SCEE.
2 - As entidades certificadoras do Estado podem requerer o estatuto de prestador qualificado de serviços de confiança junto da entidade supervisora, ficando sujeitas ao regime constante do presente decreto-lei, com exceção dos requisitos definidos nos artigos 18.º a 20.º, bem como da apresentação da documentação comprovativa dos requisitos previstos nas alíneas b) a d) do artigo 15.º
3 - As entidades certificadoras não podem emitir certificados de nível diverso do imediatamente subsequente ao seu, exceto nos casos de acordos de certificação lateral ou cruzada promovidos e aprovados pelo Conselho Gestor do SCEE.
4 - Os serviços de registo podem ser atribuídos a pessoas singulares e coletivas, designadas como entidades de registo, com as quais as entidades certificadoras acordam a prestação de serviços de identificação e registo de utilizadores de certificados, bem como a gestão de pedidos de revogação de certificados.


CAPÍTULO VI
Regime sancionatório
  Artigo 30.º
Contraordenações
1 - Constituem contraordenações muito graves:
a) O incumprimento dos requisitos de segurança para prestadores de serviços de confiança definidos no artigo 19.º do Regulamento;
b) A utilização indevida da marca de confiança «UE» para serviços de confiança qualificados, de acordo com estabelecido no artigo 23.º do Regulamento;
c) Iniciar a prestação de serviços de confiança qualificados sem que o estatuto de prestador qualificado tenha sido publicado nas listas de confiança;
d) O não cumprimento, por parte do prestador qualificado de serviços de confiança, dos deveres constantes no artigo 13.º
2 - Constituem contraordenações graves:
a) O não cumprimento, por parte do prestador qualificado de serviços de confiança, dos deveres de informação previstos no artigo 11.º;
b) O não cumprimento, por parte do prestador qualificado de serviços de confiança, dos deveres constantes no artigo 21.º;
c) O não cumprimento, por parte do prestador qualificado de serviços de confiança, do dever de comunicação previsto no n.º 1 do artigo 22.º;
d) O não cumprimento do prazo máximo referido no n.º 3 do artigo 24.º do Regulamento, bem como o fornecimento de informação sobre a validade ou revogação de certificados qualificados, tendo em consideração o referido no n.º 4 do artigo 24.º do Regulamento;
e) Na emissão de certificados qualificados para assinatura eletrónica, o não cumprimento de todos os requisitos estabelecidos no artigo 28.º do Regulamento;
f) Permitir a criação de assinaturas eletrónicas qualificadas com recurso a dispositivos que não cumprem os requisitos definidos no artigo 29.º do Regulamento;
g) Permitir a criação de selos eletrónicos qualificados com recurso a dispositivos que não cumprem os requisitos definidos no artigo 39.º do Regulamento;
h) O fornecimento de serviço de validação de assinaturas eletrónicas qualificadas, sem cumprir os requisitos definidos no artigo 32.º do Regulamento;
i) O fornecimento de serviço qualificado de validação de assinaturas eletrónicas qualificadas, sem cumprir os requisitos definidos no artigo 33.º do Regulamento;
j) O fornecimento de serviço qualificado de preservação de assinaturas eletrónicas qualificadas, sem cumprir os requisitos definidos no artigo 34.º do Regulamento;
k) Na emissão de certificados qualificados para selos eletrónicos, o não cumprimento de todos os requisitos estabelecidos no artigo 38.º do Regulamento;
l) Na validação e preservação dos selos eletrónicos qualificados, o não cumprimento de todos os requisitos estabelecidos no artigo 40.º do Regulamento;
m) Na emissão de selos temporais qualificados, o não cumprimento de todos os requisitos estabelecidos no artigo 42.º do Regulamento;
n) No fornecimento de serviços qualificados de envio registado eletrónico, o não cumprimento de todos os requisitos estabelecidos no artigo 44.º do Regulamento;
o) Na emissão de certificados qualificados de autenticação de sítios web, o não cumprimento de todos os requisitos estabelecidos no artigo 45.º do Regulamento.

  Artigo 31.º
Sanções
1 - Às contraordenações muito graves são aplicadas coimas entre (euro) 2500 e (euro) 3740, no caso de pessoas singulares, e entre (euro) 20 000 e (euro) 44 890, no caso de pessoas coletivas.
2 - Às contraordenações graves são aplicadas coimas entre (euro) 500 e (euro) 2500, no caso de pessoas singulares, e entre (euro) 5000 e (euro) 20 000, no caso de pessoas coletivas.
3 - A negligência é punível, sendo os limites mínimos e máximos das coimas aplicáveis reduzidos a metade.
4 - Às contraordenações muito graves, para além da coima, pode ser aplicada, em função da gravidade da infração e da culpa do agente, a sanção acessória de interdição do exercício da atividade de prestação de serviços de confiança até ao período máximo de dois anos.

  Artigo 32.º
Processo contra-ordenacional
1 - Compete ao dirigente máximo da entidade supervisora a instrução e decisão dos processos de contraordenação.
2 - O produto resultante da aplicação das coimas reverte em:
a) 60 /prct. para o Estado;
b) 40 /prct. para a entidade supervisora.

Páginas:    
   Contactos      Índice      Links      Direitos      Privacidade  Copyright© 2001-2024 Procuradoria-Geral Distrital de Lisboa