eIDAS 2.0. Onde tudo começou: Regulamento n.º 910/2014
Em 2014, foi aprovado o Regulamento n.º 910/2014 do Parlamento Europeu e do Conselho de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
Ora, este Regulamento tinha como principais objetivos a criação de um quadro jurídico comum a toda a União Europeia, permitindo reforçar a confiança nas transações eletrónicas no mercado interno, a promoção de um mercado único digital, através da utilização transfronteiriça dos serviços em linha, a criação das condições necessárias para o reconhecimento mútuo de tecnologias facilitadoras, tal como as assinaturas eletrónicas e os documentos eletrónicos, bem como a mitigação do ciber-risco.
Os objetivos do Regulamento eIDAS foram alcançados?
O Regulamento eIDAS trouxe consigo imensas vantagens, designadamente, a poupança de tempo nos processos das organizações, através da desmaterialização dos processos; garantir a segurança jurídica necessária para que essa desmaterialização pudesse ocorrer; a simplificação de procedimentos administrativos; e, por fim, a redução de custos face aos processos tradicionais – em papel.
Todavia, ao longo dos últimos anos, apesar dos grandes avanços alcançados pelo Regulamento eIDAS, este também tem vindo a enfrentar alguns desafios, tal como a dificuldade encontrada na interoperabilidade transfronteiriça, na falta de conhecimento do setor público e privado relativamente aos instrumentos providenciados pelo Regulamento eIDAS, ou ainda o facto de ainda existir alguma resistência à desmaterialização de processos e uma forte cultura do papel, bem como a respetiva falta de acompanhamento da área jurídica dos instrumentos disponibilizados pelo referido Regulamento.
Face a estes desafios e à necessidade de criar novas ferramentas para a promoção de um mercado único digital, foi aprovado o Regulamento (UE) n.º 2024/1183 do Parlamento Europeu e do Conselho de 11 de abril de 2024 (vulgarmente designado por Regulamento eIDAS 2.0), que altera o Regulamento (UE) n.º 910/2014 no que diz respeito à criação do Regime Europeu para a Identidade Digital.
Regulamento eIDAS 2.0: principais alterações
Este novo Regulamento tem como objetivo ultrapassar as limitações encontradas ao longo da implementação do Regulamento original, bem como alargar os serviços de confiança e a criação de uma nova identidade digital.
Deste modo, o Regulamento eIDAS 2.0 apresenta como principais alterações:
- Carteira europeia de identidade digital:
Trata-se de um meio de identificação eletrónica que permite ao utilizador armazenar, gerir e validar de forma segura dados de identificação pessoal e certificados eletrónicos de atributos. Desta forma, permite aos cidadãos armazenar e trocar todo o tipo de dados relacionados com a sua identidade, designadamente, a carta de condução, as suas habilitações académicas, comprovativo de morada, entre outros, com elevado nível de segurança e privacidade do titular.
A carteira europeia de identidade digital pretende alcançar a descentralização da identidade do titular da mesma, ou seja, através da sua posse, o titular obtém o controlo exclusivo dos seus dados pessoais, uma vez que apenas o próprio poderá partilhar esses mesmos dados com potenciais contrapartes, através do seu consentimento.
Ademais, a segurança e a privacidade do titular são reforçadas através do protocolo zero-knowledge proof. Este consiste em meios técnicos que permitem ao titular partilhar informações contidas na sua carteira digital sem revelar essa mesma informação com a sua contraparte, ou seja, a terceira parte é capaz de verificar uma determinada característica – atributo – do titular, sem que essa informação seja revelada a esse terceiro, aumentando, desta forma, a segurança e privacidade do titular.
Por fim, o titular poderá utilizar a sua carteira digital para apor assinaturas eletrónicas qualificadas ou selos eletrónicos qualificados a documentos eletrónicos.
- Certificado eletrónico de atributos ou certificado eletrónico qualificado de atributos:
Os Prestadores Qualificados de Serviços de Confiança poderão emitir certificados eletrónicos qualificados de atributos, sendo este um certificado que permite a autenticação de determinadas características do titular desse certificado.
Nos termos do Regulamento (UE) n.º 2024/1183, um atributo é uma característica, qualidade, direito ou autorização de uma pessoa singular ou coletiva ou de um objeto, tais como diplomas, licenças, habilitações académicas, ou ainda mandatos para representar ou agir em nome de pessoas singulares ou coletiva, entre outros.
- Reconhecimento mútuo dos serviços de confiança:
O novo diploma pretende sublinhar a necessidade de interoperabilidade transfronteiriça e o reconhecimento mútuo dos serviços de confiança entre todos os Estados-Membros, algo que tem vindo a ser um dos desafios à implementação do Regulamento eIDAS.
Por esta razão, foi criado o artigo 24.º-A, relativamente ao reconhecimento de serviços de confiança qualificados, onde se estabelece o reconhecimento mútuo de todos os serviços de confiança qualificados entre todos os Estados-Membros.
- Novos Serviços de Confiança Qualificados:
No que diz respeito aos novos serviços de confiança qualificados, o novo Regulamento vem preconizar no artigo 45.º-J o serviço qualificado de arquivo eletrónico, bem como o livro-razão eletrónico qualificado no artigo 45.º-K.
Relativamente ao primeiro, este pretende que os documentos eletrónicos conservados através deste serviço gozem da presunção de integridade e origem durante o período de conservação pelo Prestador Qualificado de Serviços De Confiança.
Os livro-razão eletrónicos qualificados beneficiam da presunção da ordem cronológica única e exata e da integridade dos registos contidos nos mesmos.
- Conformidade com a Diretiva (UE) 2022/2555:
Por fim, o novo Regulamento vem ainda estabelecer de que forma é que os Prestadores Qualificados de Serviços de Confiança deverão estar em conformidade com a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de Cibersegurança na União Europeia, designadamente, as medidas de gestão dos riscos de Cibersegurança preconizadas no artigo 21.º da referida Diretiva.
O que muda para os cidadãos europeus e para as organizações?
Com a chegada do Regulamento eIDAS 2.0, os cidadãos europeus deparam-se com uma verdadeira revolução no mundo da identificação eletrónica, onde a segurança e a privacidade saem reforçadas, bem como a sua confiança nas comunicações eletrónicas.
As carteiras europeias de identidade digital vêm materializar uma nova identidade digital europeia, sendo esta acessível a todos os cidadãos europeus. Para além de consistirem num novo meio de identificação digital, o titular poderá combinar a mesma com diferentes atributos, através dos certificados eletrónicos de atributos, permitindo ao titular autenticar-se perante entidades públicas e privadas, sem necessitar de preencher formulários ou realizar processos de onboarding adicionais e, por esse motivo, não necessitará de partilhar dados pessoais que não são necessários para a prestação de um determinado serviço, permitindo a simplificação de processos e procedimentos que privilegiam a proteção de dados pessoais.
No que diz respeito às organizações, o Regulamento eIDAS 2.0 visa simplificar as comunicações eletróncias no mercado único digital, através do reconhecimento mútuo dos serviços de confiança em todos os Estados-Membros, da interoperabilidade transfronteiriça, e ainda a disponibilização de mais serviços de confiança.
Deste modo, o novo Regulamento pretende aumentar a segurança técnica e jurídica nas comunicações eletrónicas no mercado interno. Ademais, estes instrumentos permitem que as organizações procedam à desmaterialização dos seus processos através dos serviços providenciados pelos Prestadores Qualificados de Serviços de Confiança.
O aumento da certeza jurídica através do Regulamento eIDAS 2.0, permite que a desmaterialização de processos seja realizada com maior segurança e eficiência, criando novas oportunidades para as organizações simplificarem os seus processos internos e externos, reduzirem custos, assegurar a conformidade com os requisitos legais estabelecidos, bem como mitigar os ciber-riscos associados aos seus processos.
Naturalmente, as organizações também poderão beneficiar das carteiras europeias de identidade digital, tanto na simplificação de processos nas relações com os seus clientes, bem como possuírem carteiras digitais das próprias organizações que poderão ter o seu certificado eletrónico de atributos, onde poderá constar, por exemplo, o número de registo da organização, em conformidade com os registos oficiais.
DS Wallet: Own, control and protect your digital identity
A DigitalSign, enquanto Prestador Qualificado de Serviços de Confiança, através do acompanhamento dos mais recentes desenvolvimentos regulatórios, criou a DS Wallet, sendo esta a primeira e única carteira europeia de identidade digital portuguesa, baseada na tecnologia blockchain, em conformidade com a EBSI.
Poderá obter mais informações através do seguinte link: https://www.digitalsign.pt/pt/ds/dswallet.