البرتغال

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2159

PRESIDÊNCIA DO CONSELHO DE MINISTROS

Decreto-Lei n.º 88/2009 de 9 de Abril

O plano tecnológico constitui um dos pilares da agenda de mudança levada a cabo pelo XVII Governo Constitucio- nal para mobilizar a sociedade portuguesa para os desafios de modernização. No quadro desta agenda, o Governo esta- beleceu como prioridade para as políticas públicas a adop- ção de um conjunto de iniciativas de modernização tecnoló- gica que tiveram por objectivo facilitar a vida dos cidadãos e a actividade das empresas, bem como aumentar a dispo- nibilidade e melhorar a qualidade dos serviços públicos.

O esforço qualitativo das políticas públicas adoptadas permitiu a Portugal iniciar, nos últimos anos, um processo de evolução e convergência no quadro internacional, em termos de inovação e de modernização tecnológicas. Um dos domínios em que Portugal alcançou, de forma mais acelerada, resultados mais evidentes foi na implementação de uma infra-estrutura de chaves públicas plenamente apta a assegurar mecanismos de autenticação digital de identidades e assinaturas electrónicas qualificadas. Nesse sentido, foi crucial, a criação, através do Decreto-Lei n.º 116-A/2006, de 16 de Junho, do Sistema de Certificação Electrónica do Estado, tanto no plano institucional como técnico, para assegurar a unidade, a integração e a eficácia de uma hie- rarquia de confiança que garantisse a segurança electrónica e a autenticação digital forte das transacções electrónicas realizadas entre os vários serviços e organismos daAdminis- tração Pública e entre o Estado e os cidadãos e as empresas.

O Sistema de Certificação Electrónica do Estado veio igualmente permitir desenvolver e potenciar um conjunto de programas públicos para a promoção das tecnologias de informação e comunicação e a introdução de novos processos de relacionamento em sociedade, entre cidadãos, empresas, organizações não governamentais e o Estado, com vista ao fortalecimento da sociedade da informação e do governo electrónico (e-government).

Por outro lado, o acesso generalizado dos cidadãos e das empresas à Internet, bem como o dinamismo da actividade empresarial e da sociedade civil na incorporação das novas tecnologias de informação e comunicação, veio criar novas necessidades e desafios à distribuição e prestação de bens e serviçosporentidadesprivadasatravésdemeioselectrónicos.

Sem deixar de lado a necessidade de manter uma arqui- tectura estável para o Sistema de Certificação Electrónica do Estado, assente em critérios que assegurem o seu bom funcionamento e que não deixem de promover a sua racio- nalidade económica e a eficácia e eficiência na prestação de serviços de certificação electrónica, procura-se, através do presente decreto-lei, ir ao encontro da evolução recente verificada em Portugal e, tendo em conta a necessidade de garantir uma melhor protecção jurídica da utilização das novas tecnologias de informação e comunicação nos sectores público e privado, procede-se à quarta alteração ao Decreto-Lei n.º 290-D/99, de 2 de Agosto, que estabe- lece o regime jurídico dos documentos electrónicos e da assinatura digital, e à primeira alteração ao Decreto-Lei n.º 116-A/2006, de 16 de Junho, que criou o Sistema de Certificação Electrónica do Estado — Infra-Estrutura de Chaves Públicas e designou a Autoridade Nacional de Segurança como autoridade credenciadora nacional.

No que diz respeito ao regime dos documentos electróni- cos e da assinatura electrónica e salvaguardadas as exigên-

cias de compatibilização com a Directiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, o presente decreto-lei procede à respectiva harmonização com o Decreto-Lei n.º 116-A/2006, de 16 de Junho, desig- nadamente no que diz respeito à utilização de certificados qualificados por entidades públicas.

Por outro lado, o regime constante do Decreto-Lei n.º 290-D/99, de 2 de Agosto, embora muito detalhado na regulamentação da natureza da certificação electrónica e dos documentos e actos jurídicos electrónicos, bem como do acesso à actividade de certificação electrónica, carecia da previsão um quadro sancionatório adequado ao exercício da fiscalização pelas autoridades administrativas competentes à semelhança do que acontece noutros ordenamentos jurídicos. Com efeito, a desejável massificação da utilização de certifi- cados digitais qualificados, tanto para efeitos de autenticação como para efeitos de assinatura electrónica qualificada, com a força probatória que passa a ser reconhecida aos documen- tos electrónicos correspondentes, exige que se introduza um conjunto de sanções com um efeito simultaneamente preven- tivo e persuasivo do estrito cumprimento das normas legais pelas entidades certificadoras que operem neste mercado.

Relativamente ao Sistema de Certificação Electrónica do Estado, as alterações introduzidas pelo presente decreto- -lei visam permitir o reconhecimento pela Entidade de Certificação Electrónica do Estado de entidades certifica- doras públicas ou privadas que exerçam, fora do Sistema de Certificação Electrónica do Estado, funções de enti- dade certificadora nos termos do disposto no Decreto-Lei n.º 290-D/99, de 2 de Agosto.

Apossibilidade de a Entidade de Certificação Electrónica do Estado emitir certificados para as entidades certificado- ras que actuem fora do Sistema de Certificação Electrónica do Estado permitirá assegurar às demais entidades certi- ficadoras nacionais o reconhecimento internacional dos respectivos certificados, bem como beneficiar de acordos de interoperabilidade que o Sistema de Certificação Elec- trónica do Estado celebre com outras infra-estruturas de chaves públicas. Por outro lado, tendo em conta as elevadas exigências técnicas e administrativas impostas no âmbito do Sistema de Certificação Electrónica do Estado, a inte- gração daquelas entidades não só reforçará a confiança nos certificados por estas emitidos como lhes conferirá um nível de robustez mais elevado que permitirá tornar mais compe- titivos os respectivos serviços de certificação oferecidos.

Foram ouvidos os órgãos de governo próprio das Re- giões Autónomas.

Assim: Nos termos da alínea a) do n.º 1 do artigo 198.º da Cons-

tituição, o Governo decreta o seguinte:

Artigo 1.º Alteração ao Decreto-Lei n.º 290-D/99, de 2 de Agosto

Os artigos 5.º, 28.º, 29.º, 38.º e 40.º do Decreto-Lei n.º 290-D/99, de 2 de Agosto, alterado pelos Decretos-Leis n.os 62/2003, de 3 de Abril, 165/2004, de 7 de Junho, e 116-A/2006,de16deJunho,passamateraseguinteredacção:

«Artigo 5.º Documentos electrónicos das entidades públicas

1 — As entidades públicas podem emitir docu- mentos electrónicos com assinatura electrónica qua- lificada aposta em conformidade com as normas do

2160 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

presente decreto-lei e com o disposto no Decreto-Lei n.º 116-A/2006, de 16 de Junho.

2 — Nas operações relativas à criação, emissão, ar- quivo, reprodução, cópia e transmissão de documentos electrónicos que formalizem actos administrativos atra- vés de sistemas informáticos, incluindo a sua transmis- são por meios de telecomunicações, os dados relativos à entidade interessada e à pessoa que tenha praticado cada acto administrativo podem ser indicados de forma a torná-los facilmente identificáveis e a comprovar a função ou cargo desempenhado pela pessoa signatária de cada documento.

Artigo 28.º […]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) À força probatória dos documentos aos quais seja

aposta uma assinatura electrónica.

5 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Artigo 29.º […]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . h) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . j) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . l) Indicação sempre que a chave privada do titular

esteja armazenada num dispositivo seguro de criação de assinatura.

2 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Artigo 38.º […]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 — É igualmente aplicável às entidades referidas

nos n.os 1, 2 e 3 que exerçam actividade em Portugal a obrigação de registo a que se refere o n.º 2 do artigo 9.º, por forma a garantir a demonstração de que estas se encontram plenamente equiparadas às entidades certi- ficadoras nos termos do presente decreto-lei.

6 — A obrigação de registo referida no número an- terior é extensível às entidades nacionais que prestem serviços de certificação electrónica com recurso a cer-

tificados qualificados emitidos pelas entidades referidas nos n.os 1, 2 e 3.

Artigo 40.º […]

A autoridade credenciadora competente para o re- gisto, credenciação e fiscalização das entidades cer- tificadoras que emitam certificados qualificados é a Autoridade Nacional de Segurança.»

Artigo 2.º Aditamento ao Decreto-Lei n.º 290-D/99, de 2 de Agosto

São aditados os artigos 36.º-A, 36.º-B e 36.º-C ao Decreto-Lei n.º 290-D/99, de 2 de Agosto, alterado pelos Decretos-Leis n.os 62/2003, de 3 de Abril, 165/2004, de 7 de Junho, e 116-A/2006, de 16 de Junho, com a seguinte redacção:

«Artigo 36.º-A Contra-ordenações

1 — Constitui contra-ordenação: a) A emissão por entidades certificadoras de cer-

tificados qualificados sem o prévio registo junto da autoridade credenciadora;

b) A violação pela entidade certificadora dos deveres previstos nas alíneas d), f), g), h), i), j), n), q) e r) do artigo 24.º;

c) A falta de fornecimento pela entidade certificadora aos utilizadores das informações previstas na alínea l) do artigo 24.º e no n.º 4 do artigo 28.º;

d) A prestação de falsas informações quanto à força probatória dos certificados;

e) A violação pela entidade certificadora de qualquer dos deveres previstos no artigo 25.º;

f) A violação pela entidade certificadora dos deveres de comunicação previstos nos n.os 1 e 2 do artigo 27.º;

g) A violação dos deveres previstos no n.º 3 do ar- tigo 28.º;

h) A falta de organização e manutenção do registo a que se refere o n.º 5 do artigo 28.º, bem com a respectiva actualização;

i) A falta de uma ou mais das informações previstas no n.º 1 do artigo 29.º;

j) A não suspensão de um certificado pela entidade certificadora sempre que se verifique algumas das si- tuações previstas no n.º 1 do artigo 30.º;

l) A não revogação de um certificado pela entidade certificadora sempre que se verifique algumas das si- tuações previstas no n.º 3 do artigo 30.º;

m) A violação do dever de conservação previsto no n.º 6 do artigo 30.º;

n) O condicionamento da comercialização ou pres- tação de um determinado bem ou serviço, nele se in- cluindo a venda exclusivamente em conjunto, à escolha de determinada entidade certificadora;

o) A prestação de declarações e informações falsas ou incompletas no âmbito do processo de credenciação previsto nos artigos 12.º e seguintes;

p) A violação dos deveres previstos nos n.os 7 e 8 do artigo 30.º;

q) A violação dos deveres de informação previstos no n.º 1 do artigo 32.º

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2161

2 — Constitui ainda contra-ordenação: a) O incumprimento dos prazos previstos no n.º 3

do artigo 13.º; b) A falta de comunicação pelas entidades certifi-

cadoras, dentro do prazo, das alterações previstas no artigo 22.º;

c) A violação pela entidade certificadora dos deveres previstos nas alíneas o) e p) do artigo 24.º;

d) A falta de comunicação ao respectivo titular da decisão de suspensão e revogação de certificados qua- lificados prevista, respectivamente, nos n.os 2 e 4 do artigo 30.º;

e) A violação dos deveres de informação previstos nos n.os 2 e 3 do artigo 32.º;

f) O não cumprimento do disposto no artigo 33.º; g) A violação do dever de comunicação previsto no

artigo 34.º

Artigo 36.º-B Sanções

1 — Às contra-ordenações previstas no n.º 1 do artigo anterior são aplicáveis coimas entre € 1500 e € 3740,98, no caso de se tratar de pessoas singulares, e entre € 15 000 e € 44 891,81, no caso de se tratar de pessoas colectivas.

2 — Às contra-ordenações previstas no n.º 2 do arti- go anterior são aplicáveis coimas entre € 500 e € 2500, no caso de se tratar de pessoas singulares, e entre € 6000 e € 30 000, no caso de se tratar de pessoas colectivas.

3 — Anegligência é punível, sendo os limites mínimos e máximos das coimas aplicáveis reduzidos a metade.

4 — Conjuntamente com as coimas previstas nos números anteriores e sem prejuízo de outras sanções previstas no presente decreto-lei, pode ainda ser apli- cada, em função da gravidade da infracção e da culpa do agente, a sanção acessória de interdição do exercício da actividade de entidade certificadora que emite certifica- dos qualificados até ao período máximo de dois anos.

5 — Sempre que seja cometida alguma das contra- -ordenações a que se refere o n.º 1 do artigo anterior, deva dela dar-se publicidade no sítio na Internet da autoridade credenciadora, bem como no registo a que se refere o n.º 2 do artigo 9.º

Artigo 36.º-C Processo contra-ordenacional

1 — Compete à autoridade credenciadora proceder à instrução dos processos de contra-ordenação e sanção acessória, sendo o seu director-geral competente para a aplicação das coimas.

2 — O produto resultante da aplicação das coimas reverte em 60% para o Estado e em 40% para a auto- ridade credenciadora.

3 — Em tudo o que não estiver previsto no presente capítulo, é aplicável subsidiariamente o regime geral do ilícito de mera ordenação social.»

Artigo 3.º Alteração ao Decreto-Lei n.º 116-A/2006, de 16 de Junho

Os artigos 1.º, 3.º, 4.º, 5.º, 7.º e 8.º do Decreto-Lei n.º 116-A/2006, de 16 de Junho, passam a ter a seguinte redacção:

«Artigo 1.º […]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 — Só podem prestar serviços de certificação elec-

trónica para as entidades públicas estaduais e para os serviços e organismos da Administração Pública ou outras entidades que exerçam funções de certificação no cumprimento de fins públicos daquela as entidades cer- tificadoras do Estado reconhecidas no âmbito do SCEE.

3 — O SCEE pode reconhecer fora do seu âmbito, para efeitos de filiação na entidade certificadora raiz do Estado, outras entidades certificadoras públicas ou privadas que exerçam funções de entidade certificadora nos termos do disposto no Decreto-Lei n.º 290-D/99, de 2 deAgosto, e que obedeçam aos requisitos previstos no presente decreto-lei.

4 — As entidades certificadoras públicas e privadas referidas no número anterior não integram o SCEE.

Artigo 3.º […]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . h) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . j) Agência para a Modernização Administrativa, I. P.; l) Um representante de cada entidade certificadora pú-

blica integrada no SCEE que não esteja representada por nenhuma das entidades referidas nas alíneas anteriores.

3 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Artigo 4.º […]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Pronunciar-se pela exclusão do SCEE das entida-

des certificadoras em caso de não conformidade com as políticas e práticas aprovadas, comunicando tal facto à autoridade credenciadora.

2 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Artigo 5.º […]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2162 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

3 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 — A Entidade de Certificação Electrónica do Es-

tado emite exclusivamente certificados para as entida- des certificadoras que lhe estejam subordinadas, não podendo emitir certificados destinados ao público.

7 — Podem filiar-se na Entidade de Certificação Electrónica do Estado as entidades certificadoras do Estado, bem como as entidades certificadoras públicas ou privadas a que alude o n.º 3 do artigo 1.º que obede- çam aos requisitos previstos no n.º 1 do artigo 7.º

Artigo 7.º […]

1 — São entidades certificadoras do Estado as entida- des que exerçam funções de entidade certificadora nos termos do disposto no Decreto-Lei n.º 290-D/99, de 2 de Agosto, e respectiva regulamentação, e que:

a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) A autoridade credenciadora tenha capacidade de

fiscalização directa sobre todos os serviços de certifi- cação electrónica disponibilizados.

2 — (Revogado.) 3 — (Revogado.) 4 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 — Os serviços de registo podem ser atribuídos a

entidades, individuais ou colectivas, designadas como entidades de registo, com as quais as entidades certifica- doras acordam a prestação de serviços de identificação e registo de utilizadores de certificados, bem como a gestão de pedidos de revogação de certificados, nos termos do disposto no n.º 1 do artigo 4.º do Decreto Regulamentar n.º 25/2004, de 15 de Julho.

Artigo 8.º […]

1 — A autoridade credenciadora competente para o registo, a credenciação e a fiscalização das entidades certificadoras compreendidas no SCEE é a Autoridade Nacional de Segurança.

2 — No âmbito da aplicação do artigo 1.º, a Autori- dade Nacional de Segurança é competente para emitir o certificado de credenciação das entidades certificadoras e exercer as competências de credenciação previstas no Decreto-Lei n.º 290-D/99, de 2 de Agosto.

3 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . »

Artigo 4.º Epígrafe

O capítulo IV do Decreto-Lei n.º 290-D/99, de 2 de Agosto, passa a ter como epígrafe «Fiscalização e regime sancionatório».

Artigo 5.º Norma revogatória

São revogados os n.os 2 e 3 do artigo 7.º do Decreto-Lei n.º 116-A/2006, de 16 de Junho.

Artigo 6.º Republicação

1 — É republicado, no anexo I do presente decreto-lei, do qual faz parte integrante, o Decreto-Lei n.º 290-D/99, de 2 de Agosto, com a redacção actual.

2 — É republicado, no anexo II do presente decreto-lei, do qual faz parte integrante, o Decreto-Lei n.º 116-A/2006, de 16 de Junho, com a redacção actual.

Visto e aprovado em Conselho de Ministros de 5 de Março de 2009. — José Sócrates Carvalho Pinto de Sou- sa — Fernando Teixeira dos Santos — Manuel Pedro Cunha da Silva Pereira — José Manuel dos Santos de Magalhães — Alberto Bernardes Costa — Mário Lino Soares Correia — José Mariano Rebelo Pires Gago.

Promulgado em 27 de Março de 2009. Publique-se. O Presidente da República, ANÍBAL CAVACO SILVA. Referendado em 31 de Março de 2009. O Primeiro-Ministro, José Sócrates Carvalho Pinto

de Sousa.

ANEXO I

(a que se refere o n.º 1 do artigo 5.º)

Republicação do Decreto-Lei n.º 290-D/99, de 2 de Agosto

CAPÍTULO I

Documentos e actos jurídicos electrónicos

Artigo 1.º Objecto

O presente diploma regula a validade, eficácia e va- lor probatório dos documentos electrónicos, a assinatura electrónica e a actividade de certificação de entidades certificadoras estabelecidas em Portugal.

Artigo 2.º Definições

Para os fins do presente diploma, entende-se por: a) «Documento electrónico» o documento elaborado

mediante processamento electrónico de dados; b) «Assinatura electrónica» o resultado de um proces-

samento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico;

c) «Assinatura electrónica avançada» a assinatura elec- trónica que preenche os seguintes requisitos:

i) Identifica de forma unívoca o titular como autor do documento;

ii) A sua aposição ao documento depende apenas da vontade do titular;

iii) É criada com meios que o titular pode manter sob seu controlo exclusivo;

iv) A sua conexão com o documento permite detec- tar toda e qualquer alteração superveniente do conteúdo deste;

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2163

d) «Assinatura digital» a modalidade de assinatura elec- trónica avançada baseada em sistema criptográfico assi- métrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo e ao destinatário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura;

e) «Chave privada» o elemento do par de chaves assi- métricas destinado a ser conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital no documento electrónico, ou se decifra um documento electrónico pre- viamente cifrado com a correspondente chave pública;

f) «Chave pública» o elemento do par de chaves assi- métricas destinado a ser divulgado, com o qual se verifica a assinatura digital aposta no documento electrónico pelo titular do par de chaves assimétricas, ou se cifra um do- cumento electrónico a transmitir ao titular do mesmo par de chaves;

g) «Assinatura electrónica qualificada» a assinatura digital ou outra modalidade de assinatura electrónica avan- çada que satisfaça exigências de segurança idênticas às da assinatura digital baseadas num certificado qualificado e criadas através de um dispositivo seguro de criação de assinatura;

h) «Dados de criação de assinatura» o conjunto único de dados, como chaves privadas, utilizado pelo titular para a criação de uma assinatura electrónica;

i) «Dispositivo de criação de assinatura» o suporte lógico ou dispositivo de equipamento utilizado para possibilitar o tratamento dos dados de criação de assinatura;

j) «Dispositivo seguro de criação de assinatura» o dis- positivo de criação de assinatura que assegure, através de meios técnicos e processuais adequados, que:

i) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura só possam ocorrer uma única vez e que a confidencialidade desses dados se encontre assegurada;

ii) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura não possam, com um grau razoável de segurança, ser deduzidos de outros dados e que a assinatura esteja protegida contra falsifica- ções realizadas através das tecnologias disponíveis;

iii) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura possam ser eficaz- mente protegidos pelo titular contra a utilização ilegítima por terceiros;

iv) Os dados que careçam de assinatura não sejam mo- dificados e possam ser apresentados ao titular antes do processo de assinatura;

l) «Dados de verificação de assinatura» o conjunto de dados, como chaves públicas, utilizado para verificar uma assinatura electrónica;

m) «Credenciação» o acto pelo qual é reconhecido a uma entidade que o solicite e que exerça a actividade de entidade certificadora o preenchimento dos requisitos definidos no presente diploma para os efeitos nele previstos;

n) «Autoridade credenciadora» a entidade competente para a credenciação e fiscalização das entidades certifi- cadoras;

o) «Entidade certificadora» a entidade ou pessoa singu- lar ou colectiva que cria ou fornece meios para a criação e verificação das assinaturas, emite os certificados, assegura a respectiva publicidade e presta outros serviços relativos a assinaturas electrónicas;

p) «Certificado» o documento electrónico que liga os dados de verificação de assinatura ao seu titular e confirma a identidade desse titular;

q) «Certificado qualificado» o certificado que contém os elementos referidos no artigo 29.º e é emitido por en- tidade certificadora que reúne os requisitos definidos no artigo 24.º;

r) «Titular» a pessoa singular ou colectiva identificada num certificado como a detentora de um dispositivo de criação de assinatura;

s) «Produto de assinatura electrónica» o suporte lógico, dispositivo de equipamento ou seus componentes especí- ficos, destinados a ser utilizados na prestação de serviços de assinatura electrónica qualificada por uma entidade certificadora ou na criação e verificação de assinatura electrónica qualificada;

t) «Organismo de certificação» a entidade pública ou privada competente para a avaliação e certificação da con- formidade dos processos, sistemas e produtos de assinatura electrónica com os requisitos a que se refere a alínea c) do n.º 1 do artigo 12.º;

u) «Validação cronológica» a declaração de entidade certificadora que atesta a data e hora da criação, expedição ou recepção de um documento electrónico;

v) «Endereço electrónico» a identificação de um equi- pamento informático adequado para receber e arquivar documentos electrónicos.

Artigo 3.º Forma e força probatória

1 — O documento electrónico satisfaz o requisito legal de forma escrita quando o seu conteúdo seja susceptível de representação como declaração escrita.

2 — Quando lhe seja aposta uma assinatura electró- nica qualificada certificada por uma entidade certificadora credenciada, o documento electrónico com o conteúdo referido no número anterior tem a força probatória de documento particular assinado, nos termos do artigo 376.º do Código Civil.

3 — Quando lhe seja aposta uma assinatura electrónica qualificada certificada por uma entidade certificadora cre- denciada, o documento electrónico cujo conteúdo não seja susceptível de representação como declaração escrita tem a força probatória prevista nos artigos 368.º do Código Civil e 167.º do Código de Processo Penal.

4 — O disposto nos números anteriores não obsta à utilização de outro meio de comprovação da autoria e integridade de documentos electrónicos, incluindo outras modalidades de assinatura electrónica, desde que tal meio seja adoptado pelas partes ao abrigo de válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento.

5 — Sem prejuízo do disposto no número anterior, o valor probatório dos documentos electrónicos aos quais não seja aposta uma assinatura electrónica qualificada cer- tificada por entidade certificadora credenciada é apreciado nos termos gerais de direito.

2164 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

Artigo 4.º Cópias de documentos

As cópias de documentos electrónicos, sobre idêntico ou diferente tipo de suporte, são válidas e eficazes nos termos gerais de direito e têm a força probatória atribuída às cópias fotográficas pelo n.º 2 do artigo 387.º do Código Civil e pelo artigo 168.º do Código de Processo Penal, se forem observados os requisitos aí previstos.

Artigo 5.º Documentos electrónicos das entidades públicas

1 — As entidades públicas podem emitir documentos electrónicoscomassinaturaelectrónicaqualificadaapostaem conformidade com as normas do presente decreto-lei e com o disposto no Decreto-Lei n.º 116-A/2006, de 16 de Junho.

2 — Nas operações relativas à criação, emissão, arquivo, reprodução, cópia e transmissão de documentos electróni- cos que formalizem actos administrativos através de siste- mas informáticos, incluindo a sua transmissão por meios de telecomunicações, os dados relativos à entidade interessada e à pessoa que tenha praticado cada acto administrativo podem ser indicados de forma a torná-los facilmente iden- tificáveis e a comprovar a função ou cargo desempenhado pela pessoa signatária de cada documento.

Artigo 6.º Comunicação de documentos electrónicos

1 — O documento electrónico comunicado por um meio de telecomunicações considera-se enviado e recebido pelo destinatário se for transmitido para o endereço electrónico definido por acordo das partes e neste for recebido.

2 — São oponíveis entre as partes e a terceiros a data e a hora da criação, da expedição ou da recepção de um documento electrónico que contenha uma validação cro- nológica emitida por uma entidade certificadora.

3 — A comunicação do documento electrónico, ao qual seja aposta assinatura electrónica qualificada, por meio de telecomunicações que assegure a efectiva recepção equivale à remessa por via postal registada e, se a recepção for com- provada por mensagem de confirmação dirigida ao reme- tente pelo destinatário que revista idêntica forma, equivale à remessa por via postal registada com aviso de recepção.

4 — Os dados e documentos comunicados por meio de telecomunicações consideram-se em poder do remetente até à recepção pelo destinatário.

5 — Os operadores que assegurem a comunicação de documentos electrónicos por meio de telecomunicações não podem tomar conhecimento do seu conteúdo, nem duplicá- -los por qualquer meio ou ceder a terceiros qualquer informa- ção, ainda que resumida ou por extracto, sobre a existência ou sobre o conteúdo desses documentos, salvo quando se trate de informação que, pela sua natureza ou por indicação expressa do seu remetente, se destine a ser tornada pública.

CAPÍTULO II Assinaturas electrónicas qualificadas

Artigo 7.º Assinatura electrónica qualificada

1 — A aposição de uma assinatura electrónica quali- ficada a um documento electrónico equivale à assinatura

autógrafa dos documentos com forma escrita sobre suporte de papel e cria a presunção de que:

a) A pessoa que apôs a assinatura electrónica qualificada é o titular desta ou é representante, com poderes bastantes, da pessoa colectiva titular da assinatura electrónica qualificada;

b) A assinatura electrónica qualificada foi aposta com a intenção de assinar o documento electrónico;

c) O documento electrónico não sofreu alteração desde que lhe foi aposta a assinatura electrónica qualificada.

2 — A assinatura electrónica qualificada deve referir-se inequivocamente a uma só pessoa singular ou colectiva e ao documento ao qual é aposta.

3 — A aposição de assinatura electrónica qualificada substitui, para todos os efeitos legais, a aposição de selos, ca- rimbos, marcas ou outros sinais identificadores do seu titular.

4 — A aposição de assinatura electrónica qualificada que conste de certificado que esteja revogado, caduco ou suspenso na data da aposição ou não respeite as condições dele constantes equivale à falta de assinatura.

Artigo 8.º Obtenção dos dados de assinatura e certificado

Quem pretenda utilizar uma assinatura electrónica qua- lificada deve, nos termos do n.º 1 do artigo 28.º, gerar ou obter os dados de criação e verificação de assinatura, bem como obter o respectivo certificado emitido por entidade certificadora nos termos deste diploma.

CAPÍTULO III

Certificação

SECÇÃO I

Acesso à actividade de certificação

Artigo 9.º Livre acesso à actividade de certificação

1 — É livre o exercício da actividade de entidade cer- tificadora, sendo facultativa a solicitação da credenciação regulada nos artigos 11.º e seguintes.

2 — Sem prejuízo do disposto no número anterior, as entidades certificadoras que emitam certificados qualifi- cados devem proceder ao seu registo junto da autoridade credenciadora, nos termos a fixar por portaria do membro do Governo responsável pela autoridade credenciadora.

3 — A credenciação e o registo estão sujeitos ao paga- mento de taxas em função dos custos associados às tarefas administrativas, técnicas, operacionais e de fiscalização correspondentes, nos termos a fixar por despacho con- junto do membro do Governo responsável pela autoridade credenciadora e do Ministro das Finanças, que constituem receita da autoridade credenciadora.

Artigo 10.º Livre escolha da entidade certificadora

1 — É livre a escolha da entidade certificadora. 2 — A escolha de entidade determinada não pode cons-

tituir condição de oferta ou de celebração de qualquer negócio jurídico.

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2165

Artigo 11.º Entidade competente para a credenciação

A credenciação de entidades certificadoras para efei- tos do presente diploma compete à autoridade creden- ciadora.

Artigo 12.º Credenciação da entidade certificadora

1 — É concedida a credenciação a entidades certifica- doras de assinaturas electrónicas qualificadas, mediante pedido apresentado à autoridade credenciadora, que sa- tisfaçam os seguintes requisitos:

a) Estejam dotadas de capital e meios financeiros ade- quados;

b) Dêem garantias de absoluta integridade e independên- cia no exercício da actividade de certificação e assinaturas electrónicas qualificadas;

c) Disponham de recursos técnicos e humanos que sa- tisfaçam os padrões de segurança e de eficácia que sejam previstos na regulamentação a que se refere o artigo 39.º;

d) Mantenham contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da activi- dade de certificação.

2 — A credenciação é válida pelo período de três anos, podendo ser objecto de renovação por períodos de igual duração.

Artigo 13.º Pedido de credenciação

1 — O pedido de credenciação de entidade certificadora deve ser instruído com os seguintes documentos:

a) Estatutos da pessoa colectiva e, tratando-se de so- ciedade, contrato de sociedade ou, tratando-se de pessoa singular, a respectiva identificação e domicílio;

b) Tratando-se de sociedade, relação de todos os sócios, com especificação das respectivas participações, bem como dos membros dos órgãos de administração e de fiscaliza- ção, e, tratando-se de sociedade anónima, relação de todos os accionistas com participações significativas, directas ou indirectas;

c) Declarações subscritas por todas as pessoas singulares e colectivas referidas no n.º 1 do artigo 15.º de que não se encontram em nenhuma das situações indiciadoras de inidoneidade referidas no respectivo n.º 2;

d) Prova do substrato patrimonial e dos meios financei- ros disponíveis e, designadamente, tratando-se de socie- dade, da realização integral do capital social;

e) Descrição da organização interna e plano de segu- rança;

f) Demonstração dos meios técnicos e humanos exigi- dos nos termos do diploma regulamentar a que se refere a alínea c) do n.º 1 do artigo 12.º, incluindo certificados de conformidade dos produtos de assinatura electrónica emi- tidos por organismo reconhecido de certificação acreditado nos termos previstos no artigo 37.º;

g) Designação do auditor de segurança; h) Programa geral da actividade prevista para os pri-

meiros três anos; i) Descrição geral das actividades exercidas nos últimos

três anos ou no tempo decorrido desde a constituição, se

for inferior, e balanço e contas dos exercícios correspon- dentes;

j) Comprovação de contrato de seguro válido para co- bertura adequada da responsabilidade civil emergente da actividade de certificação.

2 — Se à data do pedido a pessoa colectiva não estiver constituída, o pedido será instruído, em substituição do previsto na alínea a) do número anterior, com os seguintes documentos:

a) Acta da reunião em que foi deliberada a constituição; b) Projecto de estatutos ou contrato de sociedade; c) Declaração de compromisso, subscrita por todos

os fundadores, de que no acto de constituição, e como condição dela, estará integralmente realizado o substrato patrimonial exigido por lei.

3 — As declarações previstas na alínea c) do n.º 1 po- derão ser entregues em momento posterior ao pedido, nos termos e prazo que a autoridade credenciadora fixar.

4 — Consideram-se como participações significativas, para os efeitos do presente diploma, as que igualem ou excedam 10% do capital da sociedade anónima.

5 — O pedido de renovação de credenciação deve ser instruído com os seguintes documentos:

a) Programa geral da actividade prevista para os pró- ximos três anos;

b) Descrição geral das actividades exercidas nos últimos três anos e balanço e contas dos exercícios correspon- dentes;

c) Declaração que todos os elementos referidos no n.º 1 deste artigo e nos n.os 2 e 3 do artigo 32.º não sofreram alteração desde a sua apresentação à autoridade creden- ciadora.

Artigo 14.º Requisitos patrimoniais

1 — As entidades certificadoras privadas, que sejam pessoas colectivas, devem estar dotadas de capital social no valor mínimo de € 200 000 ou, não sendo sociedades, do substrato patrimonial equivalente.

2 — O substrato patrimonial, e designadamente o ca- pital social mínimo de sociedade, encontrar-se-á sempre integralmente realizado à data da credenciação, se a pessoa colectiva estiver já constituída, ou será sempre integral- mente realizado com a constituição da pessoa colectiva, se esta ocorrer posteriormente.

3 — As entidades certificadoras que sejam pessoas sin- gulares devem ter e manter durante toda a sua actividade um património, livre de quaisquer ónus, de valor equiva- lente ao previsto no n.º 1.

Artigo 15.º Requisitos de idoneidade

1 — A pessoa singular e, no caso de pessoa colectiva, os membros dos órgãos de administração e fiscalização, os empregados, comitidos e representantes das entidades certificadoras com acesso aos actos e instrumentos de certi- ficação, os sócios da sociedade e, tratando-se de sociedade anónima, os accionistas com participações significativas serão sempre pessoas de reconhecida idoneidade.

2166 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

2 — Entre outras circunstâncias atendíveis, considera- -se indiciador de falta de idoneidade o facto de a pessoa ter sido:

a) Condenada, no País ou no estrangeiro, por crime de furto, roubo, burla, burla informática e nas comunicações, extorsão, abuso de confiança, infidelidade, falsificação, fal- sas declarações, insolvência dolosa, insolvência negligente, favorecimento de credores, emissão de cheques sem provi- são, abuso de cartão de garantia ou de crédito, apropriação ilegítima de bens do sector público ou cooperativo, admi- nistração danosa em unidade económica do sector público ou cooperativo, usura, suborno, corrupção, recepção não autorizada de depósitos ou outros fundos reembolsáveis, prática ilícita de actos ou operações inerentes à actividade seguradora ou dos fundos de pensões, branqueamento de capitais, abuso de informação, manipulação do mercado de valores mobiliários ou crime previsto no Código das Sociedades Comerciais;

b) Declarada, por sentença nacional ou estrangeira, fa- lida ou insolvente ou julgada responsável por falência ou insolvência de empresa por ela dominada ou de cujos ór- gãos de administração ou fiscalização tenha sido membro;

c) Sujeita a sanções, no País ou no estrangeiro, pela prática de infracções às normas legais ou regulamentares que regem as actividades de produção, autenticação, registo e conservação de documentos, e designadamente as do notariado, dos registos públicos, do funcionalismo judicial, das bibliotecas públicas, e da certificação de assinaturas electrónicas qualificadas.

3 — A falta dos requisitos de idoneidade previstos no presente artigo constitui fundamento de recusa e de revo- gação da credenciação, nos termos da alínea c) do n.º 1 do artigo 18.º e da alínea f) do n.º 1 do artigo 20.º

Artigo 16.º Seguro obrigatório de responsabilidade civil

O Ministro das Finanças definirá, por portaria, as carac- terísticas do contrato de seguro de responsabilidade civil a que se refere a alínea d) do artigo 12.º

Artigo 17.º Decisão

1 — A autoridade credenciadora poderá solicitar dos requerentes informações complementares e proceder, por si ou por quem para o efeito designar, às averiguações, inquirições e inspecções que entenda necessárias para a apreciação do pedido.

2 — A decisão sobre o pedido de credenciação ou sua renovação deve ser notificada aos interessados no prazo de três meses a contar da recepção do pedido ou, se for o caso, a contar da recepção das informações complementa- res solicitadas ou da conclusão das diligências que entenda necessárias, não podendo no entanto exceder o prazo de seis meses sobre a data da recepção daquele.

3 — A autoridade credenciadora poderá incluir na cre- denciação condições adicionais desde que necessárias para assegurar o cumprimento das disposições legais e regulamentares aplicáveis ao exercício da actividade pela entidade certificadora.

4 — A credenciação é inscrita no registo a que se refere o n.º 2 do artigo 9.º e publicada na 2.ª série do Diário da República.

5 — A decisão de credenciação é comunicada à Co- missão Europeia e aos outros Estados membros da União Europeia.

Artigo 18.º Recusa de credenciação

1 — A credenciação é recusada sempre que:

a) O pedido não estiver instruído com todas as infor- mações e documentos necessários;

b) A instrução do pedido enfermar de inexactidões ou falsidades;

c) A autoridade credenciadora não considerar demons- trado algum dos requisitos enumerados nos artigos 12.º e seguintes.

2 — Se o pedido estiver deficientemente instruído, a autoridade credenciadora, antes de recusar a credenciação, notificará o requerente, dando-lhe prazo razoável para suprir a deficiência.

Artigo 19.º Caducidade da credenciação

1 — A credenciação caduca nos seguintes casos:

a) Quando a actividade de certificação não seja iniciada no prazo de 12 meses após a recepção da notificação da credenciação;

b) Quando, tratando-se de pessoa colectiva, esta seja dissolvida, sem prejuízo dos actos necessários à respectiva liquidação;

c) Quando, tratando-se de pessoa singular, esta faleça ou seja declarada interdita ou inabilitada;

d) Quando, findo o prazo de validade, a credenciação não tenha sido objecto de renovação.

2 — A caducidade da credenciação é inscrita no registo a que se refere o n.º 2 do artigo 9.º e publicada na 2.ª série do Diário da República.

3 — A caducidade da credenciação é comunicada à Co- missão Europeia e aos outros Estados membros da União Europeia.

Artigo 20.º Revogação da credenciação

1 — A credenciação é revogada, sem prejuízo de outras sanções aplicáveis nos termos da lei, quando se verifique alguma das seguintes situações:

a) Se tiver sido obtida por meio de falsas declarações ou outros expedientes ilícitos;

b) Se deixar de se verificar algum dos requisitos enu- merados no artigo 12.º;

c) Se a entidade cessar a actividade de certificação ou a reduzir para nível insignificante por período superior a 12 meses;

d) Se ocorrerem irregularidades graves na administra- ção, organização ou fiscalização interna da entidade;

e) Se no exercício da actividade de certificação ou de outra actividade social forem praticados actos ilícitos que lesem ou ponham em perigo a confiança do público na certificação;

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2167

f) Se supervenientemente se verificar alguma das cir- cunstâncias de inidoneidade referidas no artigo 15.º em relação a qualquer das pessoas a que alude o seu n.º 1;

g) Se os certificados do organismo de certificação re- feridos na alínea f) do n.º 1 do artigo 13.º tiverem sido revogados.

2 — A revogação da credenciação compete à autoridade credenciadora, em decisão fundamentada, que será notifi- cada à entidade no prazo de oito dias úteis.

3 — A decisão de revogação é inscrita no registo a que se refere o n.º 2 do artigo 9.º e publicada na 2.ª série do Diário da República.

4 — A decisão de revogação é comunicada à Comis- são Europeia e aos outros Estados membros da União Europeia.

Artigo 21.º Anomalias nos órgãos de administração e fiscalização

1 — Se por qualquer motivo deixarem de estar preen- chidos os requisitos legais e estatutários do normal fun- cionamento dos órgãos de administração ou fiscalização, a autoridade credenciadora fixará prazo para ser regularizada a situação.

2 — Não sendo regularizada a situação no prazo fixado, será revogada a credenciação nos termos do artigo anterior.

Artigo 22.º Comunicação de alterações

Devem ser comunicadas à autoridade credenciadora, no prazo de 30 dias, as alterações das entidades certificadoras que emitem certificados qualificados relativas a:

a) Firma ou denominação; b) Objecto; c) Local da sede, salvo se a mudança ocorrer dentro do

mesmo concelho ou para concelho limítrofe; d) Substrato patrimonial ou património, desde que se

trate de uma alteração significativa; e) Estrutura de administração e de fiscalização; f) Limitação dos poderes dos órgãos de administração

e fiscalização; g) Cisão, fusão e dissolução.

Artigo 23.º Registo de alterações

1 — O registo das pessoas referidas no n.º 1 do ar- tigo 15.º deve ser solicitado à autoridade credenciadora no prazo de 15 dias após assumirem qualquer das qualidades nele referidas, mediante pedido da entidade certificadora ou dos interessados, juntamente com as provas de que se encontram preenchidos os requisitos definidos no mesmo artigo, e sob pena de a credenciação ser revogada.

2 — Poderão a entidade certificadora ou os interessa- dos solicitar o registo provisório, antes da assunção por estes de qualquer das qualidades referidas no n.º 1 do ar- tigo 15.º, devendo a conversão em definitivo ser requerida no prazo de 30 dias a contar da designação, sob pena de caducidade.

3 — Em caso de recondução, será esta averbada no registo, a pedido da entidade certificadora ou dos inte- ressados.

4 — O registo é recusado em caso de inidoneidade, nos termos do artigo 15.º, e a recusa é comunicada aos interessados e à entidade certificadora, a qual deve tomar as medidas adequadas para que aqueles cessem imedia- tamente funções ou deixem de estar para com a pessoa colectiva na relação prevista no mesmo artigo, seguindo-se no aplicável o disposto no artigo 21.º

5 — Sem prejuízo do que resulte de outras disposições legais aplicáveis, a falta de registo não determina por si só invalidade dos actos jurídicos praticados pela pessoa em causa no exercício das suas funções.

SECÇÃO II

Exercício da actividade

Artigo 24.º Deveres da entidade certificadora que emite

certificados qualificados

Compete à entidade certificadora que emite certificados qualificados:

a) Estar dotada dos requisitos patrimoniais estabelecidos no artigo 14.º;

b) Oferecer garantias de absoluta integridade e indepen- dência no exercício da actividade de certificação;

c) Demonstrar a fiabilidade necessária para o exercício da actividade de certificação;

d) Manter um contrato de seguro válido para a cobertura adequada da responsabilidade civil emergente da activi- dade de certificação, nos termos previstos no artigo 16.º;

e) Dispor de recursos técnicos e humanos que satisfaçam os padrões de segurança e eficácia, nos termos do diploma regulamentar;

f) Utilizar sistemas e produtos fiáveis protegidos contra qualquer modificação e que garantam a segurança técnica dos processos para os quais estejam previstos;

g) Adoptar medidas adequadas para impedir a falsifi- cação ou alteração dos dados constantes dos certificados e, nos casos em que a entidade certificadora gere dados de criação de assinaturas, garantir a sua confidencialidade durante o processo de criação;

h) Utilizar sistemas fiáveis de conservação dos certifi- cados, de forma que:

i) Os certificados só possam ser consultados pelo pú- blico nos casos em que tenha sido obtido o consentimento do seu titular;

ii) Apenas as pessoas autorizadas possam inserir dados e alterações aos certificados;

iii) A autenticidade das informações possa ser verifi- cada; e

iv) Quaisquer alterações de carácter técnico susceptíveis de afectar os requisitos de segurança sejam imediatamente detectáveis;

i) Verificar rigorosamente a identidade dos requerentes titulares dos certificados e, tratando-se de representantes de pessoas colectivas, os respectivos poderes de representa- ção, bem como, quando aplicável, as qualidades específicas a que se refere a alínea i) do n.º 1 do artigo 29.º;

j) Conservar os elementos que comprovem a verdadeira identidade dos requerentes titulares de certificados com pseudónimo;

2168 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

l) Informar os requerentes, por forma escrita, de modo completo e claro, sobre o processo de emissão de certi- ficados qualificados e os termos e condições exactos de utilização do certificado qualificado, incluindo eventuais restrições à sua utilização;

m) Cumprir as regras de segurança para tratamento de dados pessoais estabelecidas na legislação respectiva;

n) Não armazenar ou copiar dados de criação de assi- naturas do titular a quem a entidade certificadora tenha oferecido serviços de gestão de chaves;

o) Assegurar o funcionamento de um serviço que:

i) Permita a consulta, de forma célere e segura, do re- gisto informático dos certificados emitidos, revogados, suspensos ou caducados; e

ii) Garanta, de forma imediata e segura, a revogação, suspensão ou caducidade dos certificados;

p) Proceder à publicação imediata da revogação ou suspensão dos certificados, nos casos previstos no presente diploma;

q) Assegurar que a data e a hora da emissão, suspensão e revogação dos certificados possam ser determinadas através de validação cronológica;

r) Conservar os certificados que emitir, por um período não inferior a 20 anos.

Artigo 25.º Protecção de dados

1 — As entidades certificadoras só podem coligir dados pessoais necessários ao exercício das suas activi- dades e obtê-los directamente das pessoas interessadas na titularidade dos dados de criação e verificação de assinatura e respectivos certificados, ou de terceiros junto dos quais aquelas pessoas autorizem a sua co- lecta.

2 — Os dados pessoais coligidos pela entidade cer- tificadora não poderão ser utilizados para outra finali- dade que não seja a de certificação, salvo se outro uso for consentido expressamente por lei ou pela pessoa interessada.

3 — As entidades certificadoras e a autoridade cre- denciadora respeitarão as normas legais vigentes sobre a protecção, tratamento e circulação dos dados pessoais e sobre a protecção da privacidade no sector das teleco- municações.

4 — As entidades certificadoras comunicarão à auto- ridade judiciária, sempre que esta o ordenar nos termos legalmente previstos, os dados relativos à identidade dos titulares de certificados que sejam emitidos com pseudó- nimo, seguindo-se, no aplicável, o regime do artigo 182.º do Código de Processo Penal.

Artigo 26.º Responsabilidade civil

1 — A entidade certificadora é civilmente responsável pelos danos sofridos pelos titulares dos certificados e por terceiros, em consequência do incumprimento dos deveres que lhe incumbem por força do presente diploma e da sua regulamentação, excepto se provar que não actuou de forma dolosa ou negligente.

2 — São nulas as convenções de exoneração e limitação da responsabilidade prevista no n.º 1.

Artigo 27.º Cessação da actividade

1 — No caso de pretender cessar voluntariamente a sua actividade, a entidade certificadora que emite certificados qualificados deve comunicar essa intenção à autoridade credenciadora e às pessoas a quem tenha emitido certifica- dos que permaneçam em vigor, com a antecipação mínima de três meses, indicando também qual a entidade certifica- dora à qual é transmitida a sua documentação ou a revo- gação dos certificados no termo daquele prazo, devendo neste último caso, quando seja credenciada, colocar a sua documentação à guarda da autoridade credenciadora.

2 — A entidade certificadora que emite certificados qualificados que se encontre em risco de decretação de falência, de processo de recuperação de empresa ou de cessação da actividade por qualquer outro motivo alheio à sua vontade deve informar imediatamente a autoridade credenciadora.

3 — No caso previsto no número anterior, se a entidade certificadora vier a cessar a sua actividade, a autoridade credenciadora promoverá a transmissão da documentação daquela para outra entidade certificadora ou, se tal trans- missão for impossível, a revogação dos certificados emiti- dos e a conservação dos elementos de tais certificados pelo prazo em que deveria fazê-lo a entidade certificadora.

4 — A cessação da actividade de entidade certificadora que emite certificados qualificados é inscrita no registo a que se refere o n.º 2 do artigo 9.º e publicada na 2.ª série do Diário da República.

5 — A cessação da actividade de entidade certificadora é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

SECÇÃO III

Certificados

Artigo 28.º Emissão dos certificados qualificados

1 — A entidade certificadora emite, a pedido de uma pessoa singular ou colectiva interessada e a favor desta, os dados de criação e de verificação de assinatura ou, se tal for solicitado, coloca à disposição os meios técnicos neces- sários para que esta os crie, devendo sempre verificar, por meio legalmente idóneo e seguro, a identidade e, quando existam, os poderes de representação da requerente.

2 — A entidade certificadora emite, a pedido do titular, uma ou mais vias do certificado e do certificado comple- mentar.

3 — A entidade certificadora deve tomar medidas ade- quadas para impedir a falsificação ou alteração dos dados constantes dos certificados e assegurar o cumprimento das normas legais e regulamentares aplicáveis, recorrendo a pessoal devidamente habilitado.

4 — A entidade certificadora fornece aos titulares dos certificados as informações necessárias para a utilização correcta e segura das assinaturas, nomeadamente as res- peitantes:

a) Às obrigações do titular do certificado e da entidade certificadora;

b) Ao procedimento de aposição e verificação de as- sinatura;

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2169

c) À conveniência de os documentos aos quais foi aposta uma assinatura serem novamente assinados quando ocor- rerem circunstâncias técnicas que o justifiquem;

d) À força probatória dos documentos aos quais seja aposta uma assinatura electrónica.

5 — A entidade certificadora organizará e manterá per- manentemente actualizado um registo informático dos cer- tificados emitidos, suspensos ou revogados, o qual estará acessível a qualquer pessoa para consulta, inclusivamente por meio de telecomunicações, e será protegido contra alterações não autorizadas.

Artigo 29.º Conteúdo dos certificados qualificados

1 — O certificado qualificado deve conter, pelo menos, as seguintes informações:

a) Nome ou denominação do titular da assinatura e ou- tros elementos necessários para uma identificação inequí- voca e, quando existam poderes de representação, o nome do seu representante ou representantes habilitados, ou um pseudónimo do titular, claramente identificado como tal;

b) Nome e assinatura electrónica avançada da entidade certificadora, bem como a indicação do país onde se en- contra estabelecida;

c) Dados de verificação de assinatura correspondentes aos dados de criação de assinatura detidos pelo titular;

d) Número de série do certificado; e) Início e termo de validade do certificado; f) Identificadores de algoritmos utilizados na verificação

de assinaturas do titular e da entidade certificadora; g) Indicação de o uso do certificado ser ou não restrito

a determinados tipos de utilização, bem como eventuais limites do valor das transacções para as quais o certificado é válido;

h) Limitações convencionais da responsabilidade da entidade certificadora, sem prejuízo do disposto no n.º 2 do artigo 26.º;

i) Eventual referência a uma qualidade específica do titular da assinatura, em função da utilização a que o cer- tificado estiver destinado;

j) Indicação de que é emitido como certificado quali- ficado;

l) Indicação sempre que a chave privada do titular es- teja armazenada num dispositivo seguro de criação de assinatura.

2 — A pedido do titular podem ser incluídas no certifi- cado ou em certificado complementar informações rela- tivas a poderes de representação conferidos ao titular por terceiro, à sua qualificação profissional ou a outros atribu- tos, mediante fornecimento da respectiva prova, ou com a menção de se tratar de informações não confirmadas.

Artigo 30.º Suspensão e revogação dos certificados qualificados

1 — A entidade certificadora suspende o certificado:

a) A pedido do titular, devidamente identificado para o efeito;

b) Quando existam fundadas razões para crer que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser

conformes com a realidade ou que a confidencialidade dos dados de criação de assinatura não está assegurada.

2 — A suspensão com um dos fundamentos previstos na alínea b) do número anterior será sempre motivada e comunicada prontamente ao titular, bem como imedia- tamente inscrita no registo do certificado, podendo ser levantada quando se verifique que tal fundamento não corresponde à realidade.

3 — A entidade certificadora revogará o certificado:

a) A pedido do titular, devidamente identificado para o efeito;

b) Quando, após suspensão do certificado, se confirme que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas dei- xaram de ser conformes com a realidade, ou que a confi- dencialidade dos dados de criação de assinatura não está assegurada;

c) Quando a entidade certificadora cesse as suas acti- vidades sem ter transmitido a sua documentação a outra entidade certificadora;

d) Quando a autoridade credenciadora ordene a revoga- ção do certificado por motivo legalmente fundado;

e) Quando tomar conhecimento do falecimento, inter- dição ou inabilitação da pessoa singular ou da extinção da pessoa colectiva.

4 — A decisão de revogação do certificado com um dos fundamentos previstos nas alíneas b), c) e d) do n.º 3 será sempre fundamentada e comunicada ao titular, bem como imediatamente inscrita.

5 — A suspensão e a revogação do certificado são opo- níveis a terceiros a partir da inscrição no registo respectivo, salvo se for provado que o seu motivo já era do conheci- mento do terceiro.

6 — A entidade certificadora conservará as informações referentes aos certificados durante um prazo não inferior a 20 anos a contar da suspensão ou revogação de cada certificado e facultá-las-á a qualquer interessado.

7 — A revogação ou suspensão do certificado indicará a data e a hora a partir das quais produzem efeitos, não podendo essa data e hora ser anterior àquela em que essa informação for divulgada publicamente.

8 — A partir da suspensão ou revogação de um certi- ficado ou do termo do seu prazo de validade é proibida a emissão de certificado referente aos mesmos dados de criação de assinatura pela mesma ou outra entidade cer- tificadora.

Artigo 31.º Obrigações do titular

1 — O titular do certificado deve tomar todas as medi- das de organização e técnica que sejam necessárias para evitar danos a terceiros e preservar a confidencialidade da informação transmitida.

2 — Em caso de dúvida quanto à perda de confidenciali- dade dos dados de criação de assinatura, o titular deve pedir a suspensão do certificado e, se a perda for confirmada, a sua revogação.

3 — A partir da suspensão ou revogação de um certi- ficado ou do termo do seu prazo de validade é proibida ao titular a utilização dos respectivos dados de criação de assinatura para gerar uma assinatura electrónica.

2170 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

4 — Sempre que se verifiquem motivos que justifiquem a revogação ou suspensão do certificado, deve o respectivo titular efectuar, com a necessária celeridade e diligência, o correspondente pedido de suspensão ou revogação à entidade certificadora.

CAPÍTULO IV

Fiscalização e regime sancionatório

Artigo 32.º Deveres de informação das entidades certificadoras

1 — As entidades certificadoras fornecem à autoridade credenciadora, de modo pronto e exaustivo, todas as infor- mações que ela lhes solicite para fins de fiscalização da sua actividade e facultam-lhe para os mesmos fins a inspecção dos seus estabelecimentos e o exame local de documentos, objec- tos, equipamentos de hardware e software e procedimentos operacionais, no decorrer dos quais a autoridade credencia- dora poderá fazer as cópias e registos que sejam necessários.

2 — As entidades certificadoras credenciadas devem comunicar sempre à autoridade credenciadora, no mais breve prazo possível, todas as alterações relevantes que sobrevenham nos requisitos e elementos referidos nos artigos 13.º e 15.º

3 — Até ao último dia útil de cada semestre, as entidades certificadoras credenciadas devem enviar à autoridade cre- denciadora uma versão actualizada das relações referidas na alínea b) do n.º 1 do artigo 13.º

Artigo 33.º Auditor de segurança

1 — As entidades certificadoras que emitam certifi- cados qualificados devem ser auditadas por um auditor de segurança que cumpra os requisitos especificados na regulamentação a que se refere o artigo 39.º

2 — O auditor de segurança elabora um relatório anual de segurança que envia à autoridade credenciadora, até 31 de Março de cada ano civil.

Artigo 34.º Revisores oficiais de contas e auditores externos

Os revisores oficiais de contas ao serviço das entidades certificadoras e os auditores externos que, por imposição legal, prestem às mesmas entidades serviços de auditoria devem comunicar à autoridade credenciadora as infracções graves às normas legais ou regulamentares relevantes para a fiscalização e que detectem no exercício das suas funções.

Artigo 35.º Recursos

Nos recursos interpostos das decisões tomadas pela autoridade credenciadora no exercício dos seus poderes de credenciação e fiscalização, presume-se, até prova em contrário, que a suspensão da eficácia determina grave lesão do interesse público.

Artigo 36.º Colaboração das autoridades

A autoridade credenciadora poderá solicitar às autorida- des policiais e judiciárias e a quaisquer outras autoridades

e serviços públicos toda a colaboração ou auxílio que julgue necessários para a credenciação e fiscalização da actividade de certificação.

Artigo 36.º-A Contra-ordenações

1 — Constitui contra-ordenação:

a) A emissão por entidades certificadoras de certifica- dos qualificados sem o prévio registo junto da autoridade credenciadora;

b) A violação pela entidade certificadora dos deveres previstos nas alíneas d), f), g), h), i), j), n), q) e r) do ar- tigo 24.º;

c) A falta de fornecimento pela entidade certificadora aos utilizadores das informações previstas na alínea l) do artigo 24.º e no n.º 4 do artigo 28.º;

d) A prestação de falsas informações quanto à força probatória dos certificados;

e) A violação pela entidade certificadora de qualquer dos deveres previstos no artigo 25.º;

f) A violação pela entidade certificadora dos deveres de comunicação previstos nos n.os 1 e 2 do artigo 27.º;

g) Aviolação dos deveres previstos no n.º 3 do artigo 28.º; h) A falta de organização e manutenção do registo a

que se refere o n.º 5 do artigo 28.º, bem com a respectiva actualização;

i) A falta de uma ou mais das informações previstas no n.º 1 do artigo 29.º;

j) A não suspensão de um certificado pela entidade cer- tificadora sempre que se verifique algumas das situações previstas no n.º 1 do artigo 30.º;

l) A não revogação de um certificado pela entidade cer- tificadora sempre que se verifique algumas das situações previstas no n.º 3 do artigo 30.º;

m) A violação do dever de conservação previsto no n.º 6 do artigo 30.º;

n) O condicionamento da comercialização ou prestação de um determinado bem ou serviço, nele se incluindo a venda exclusivamente em conjunto, à escolha de determi- nada entidade certificadora;

o) A prestação de declarações e informações falsas ou incompletas no âmbito do processo de credenciação pre- visto nos artigos 12.º e seguintes;

p) A violação dos deveres previstos nos n.os 7 e 8 do artigo 30.º;

q) A violação dos deveres de informação previstos no n.º 1 do artigo 32.º

2 — Constitui ainda contra-ordenação:

a) O incumprimento dos prazos previstos no n.º 3 do artigo 13.º;

b) A falta de comunicação pelas entidades certificadoras, dentro do prazo, das alterações previstas no artigo 22.º;

c) A violação pela entidade certificadora dos deveres previstos nas alíneas o) e p) do artigo 24.º;

d) A falta de comunicação ao respectivo titular da deci- são de suspensão e revogação de certificados qualificados prevista, respectivamente, nos n.os 2 e 4 do artigo 30.º;

e) A violação dos deveres de informação previstos nos n.os 2 e 3 do artigo 32.º;

f) O não cumprimento do disposto no artigo 33.º; g) A violação do dever de comunicação previsto no

artigo 34.º

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2171

Artigo 36.º-B Sanções

1 — Às contra-ordenações previstas no n.º 1 do arti- go anterior são aplicáveis coimas entre € 1500 e € 3740,98, no caso de se tratar de pessoas singulares, e entre € 15 000 e € 44 891,81, no caso de se tratar de pessoas colectivas.

2 — Às contra-ordenações previstas no n.º 2 do arti- go anterior são aplicáveis coimas entre € 500 e € 2500, no caso de se tratar de pessoas singulares, e entre € 6000 e € 30 000, no caso de se tratar de pessoas colectivas.

3 — A negligência é punível, sendo os limites mínimos e máximos das coimas aplicáveis reduzidos a metade.

4 — Conjuntamente com as coimas previstas nos núme- ros anteriores e sem prejuízo de outras sanções previstas no presente decreto-lei, pode ainda ser aplicada, em função da gravidade da infracção e da culpa do agente, a sanção acessória de interdição do exercício da actividade de enti- dade certificadora que emite certificados qualificados até ao período máximo de dois anos.

5 — Sempre que seja cometida alguma das contra- -ordenações a que se refere o n.º 1 do artigo anterior, deva dela dar-se publicidade no sítio na Internet da autoridade credenciadora, bem como no registo a que se refere o n.º 2 do artigo 9.º

Artigo 36.º-C Processo contra-ordenacional

1 — Compete à autoridade credenciadora proceder à instrução dos processos de contra-ordenação e sanção acessória, sendo o seu director-geral competente para a aplicação das coimas.

2 — O produto resultante da aplicação das coimas re- verte em 60% para o Estado e em 40% para a autoridade credenciadora.

3 — Em tudo o que não estiver previsto no presente capítulo, é aplicável subsidiariamente o regime geral do ilícito de mera ordenação social.

CAPÍTULO V

Disposições finais

Artigo 37.º Organismos de certificação

A conformidade dos produtos de assinatura electrónica com os requisitos técnicos a que se refere a alínea c) do n.º 1 do artigo 12.º é verificada e certificada por:

a) Organismo de certificação acreditado no âmbito do Sistema Português de Qualidade;

b) Organismo de certificação acreditado no âmbito da EA (European Co-Operation forAccreditation), sendo o respec- tivo reconhecimento comprovado pela entidade competente do Sistema Português de Qualidade para a acreditação;

c) Organismo de certificação designado por outros Es- tados membros e notificado à Comissão Europeia nos termos da alínea b) do n.º 1 do artigo 11.º da Directiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro.

Artigo 38.º Certificados de outros Estado

1 — As assinaturas electrónicas qualificadas certificadas por entidade certificadora credenciada em outro Estado

membro da União Europeia são equiparadas às assinaturas electrónicas qualificadas certificadas por entidade certifi- cadora credenciada nos termos deste diploma.

2 — Os certificados qualificados emitidos por entidade certificadora sujeita a sistema de fiscalização de outro Estado membro da União Europeia são equiparados aos certificados qualificados emitidos por entidade certifica- dora estabelecida em Portugal.

3 — Os certificados qualificados emitidos por entida- des certificadoras estabelecidas em Estados terceiros são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida em Portugal desde que se verifique alguma das seguintes circunstâncias:

a) A entidade certificadora preencha os requisitos esta- belecidos pela Directiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, e tenha sido credenciada num Estado membro da União Europeia;

b) O certificado esteja garantido por uma entidade certificadora estabelecida na União Europeia que cum- pra os requisitos estabelecidos na directiva referida na alínea anterior;

c) O certificado ou a entidade certificadora seja reco- nhecida com base num acordo internacional que vincule o Estado Português.

4 — A autoridade credenciadora divulgará, sempre que possível e pelos meios de publicidade que considerar ade- quados, e facultará aos interessados, a pedido, as informa- ções de que dispuser acerca das entidades certificadoras credenciadas em Estados estrangeiros.

5 — É igualmente aplicável às entidades referidas nos n.os 1, 2 e 3 que exerçam actividade em Portugal a obrigação de registo a que se refere o n.º 2 do artigo 9.º, por forma a garantir a demonstração de que estas se encontram plena- mente equiparadas às entidades certificadoras credenciadas nos termos do presente decreto-lei.

6 — A obrigação de registo referida no número anterior é extensível às entidades nacionais que prestem serviços de certificação electrónica com recurso a certificados quali- ficados emitidos pelas entidades referidas nosn.os 1, 2 e 3.

Artigo 39.º Normas regulamentares

1 — A regulamentação do presente diploma, nomea- damente no que se refere às normas de carácter técnico e de segurança, constará de decreto regulamentar, a adoptar no prazo de 150 dias.

2 — Os serviços e organismos da Administração Pública poderão emitir normas regulamentares relativas aos requi- sitos a que devem obedecer os documentos que recebam por via electrónica.

Artigo 40.º Designação da autoridade credenciadora

A autoridade credenciadora competente para o registo, credenciação e fiscalização das entidades certificadoras que emitam certificados qualificados é a Autoridade Nacional de Segurança.

Artigo 40.º-A Credenciação de entidades certificadoras públicas

1 — As disposições constantes dos capítulos III e IV só são aplicáveis à actividade das entidades certificadoras

2172 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

públicas na estrita medida da sua adequação à natureza e às atribuições de tais entidades.

2 — Compete à autoridade credenciadora estabelecer os critérios de adequação da aplicação do disposto no nú- mero anterior, para efeitos da emissão de certificados de credenciação a entidades certificadoras públicas a quem tal atribuição esteja legalmente cometida.

3 — Os certificados de credenciação podem ser emiti- dos, a título provisório, por períodos anuais renováveis até um máximo de três anos, sempre que a autoridade creden- ciadora considere necessário determinar procedimentos de melhor cumprimento dos requisitos técnicos aplicáveis.

Artigo 41.º Entrada em vigor

O presente diploma entra em vigor no dia imediato ao da sua publicação.

ANEXO II

(a que se refere o n.º 2 do artigo 5.º)

Republicação do Decreto-Lei n.º 116-A/2006, de 16 de Junho

CAPÍTULO I Disposições gerais

Artigo 1.º Objecto e âmbito

1 — É criado o Sistema de Certificação Electrónica do Estado — Infra-Estrutura de Chaves Públicas, adiante designado abreviadamente por SCEE, destinado a esta- belecer uma estrutura de confiança electrónica, de forma que as entidades certificadoras que lhe estão subordinadas disponibilizem serviços que garantam:

a) A realização de transacções electrónicas seguras; b) A autenticação forte; c) Assinaturas electrónicas de transacções ou informa-

ções e documentos electrónicos, assegurando a sua autoria, integridade, não repúdio e confidencialidade.

2 — Só podem prestar serviços de certificação electró- nica para as entidades públicas estaduais e para os serviços e organismos da Administração Pública ou outras entidades que exerçam funções de certificação no cumprimento de fins públicos daquela as entidades certificadoras do Estado reconhecidas no âmbito do SCEE.

3 — O SCEE pode reconhecer fora do seu âmbito, para efeitos de filiação na entidade certificadora raiz do Estado, outras entidades certificadoras públicas ou privadas que exerçam funções de entidade certificadora nos termos do disposto no Decreto-Lei n.º 290-D/99, de 2 de Agosto, e que obedeçam aos requisitos previstos no presente decreto-lei.

4 — As entidades certificadoras públicas e privadas referidas no número anterior não integram o SCEE.

Artigo 2.º Estrutura e funcionamento do SCEE

1 — O SCEE compreende: a) O Conselho Gestor do Sistema de Certificação Elec-

trónica do Estado;

b) A Entidade de Certificação Electrónica do Estado; c) As entidades certificadoras do Estado.

2 — O funcionamento do SCEE obedece às regras es- tabelecidas no presente decreto-lei.

CAPÍTULO II

Conselho Gestor do SCEE

Artigo 3.º Composição e funcionamento

1 — O Conselho Gestor do SCEE é o órgão responsável pela gestão global e administração do SCEE.

2 — O Conselho Gestor do SCEE é presidido pelo Ministro da Presidência, com faculdade de delegação, e composto por representantes de cada uma das seguintes entidades, designados pelos competentes membros do Governo:

a) Agência para a Sociedade do Conhecimento, I. P. (UMIC);

b) Centro de Gestão da Rede Informática do Governo (CEGER);

c) Fundação para a Computação Científica Nacional (FCCN);

d) Gabinete Nacional de Segurança (GNS); e) ICP — Autoridade Nacional de Comunicações (ICP-

-ANACOM); f) Instituto de Informática (II); g) Instituto de Telecomunicações (IT); h) Instituto das Tecnologias de Informação na Justiça

(ITIJ); i) Rede Nacional de Segurança Interna; j) Agência para a Modernização Administrativa, I. P.; l) Um representante de cada entidade certificadora

pública integrada no SCEE que não esteja representada por nenhuma das entidades referidas nas alíneas ante- riores.

3 — Salvo indicação expressa em contrário no acto de designação, o membro do Governo indicado nos termos do número anterior pode delegar a presidência em qualquer membro do Conselho Gestor do SCEE.

4 — O Conselho Gestor do SCEE pode solicitar a colaboração de outras entidades públicas, bem como de entidades privadas ou de individualidades, para a análise de assuntos de natureza técnica especializada, no âmbito das competências que lhe são cometidas pelo presente decreto-lei.

5 — O Conselho Gestor do SCEE reúne, de forma or- dinária, duas vezes por ano e, de forma extraordinária, por convocação do seu presidente.

6 — O apoio técnico, logístico e administrativo ao Con- selho Gestor do SCEE bem como os encargos inerentes ao seu funcionamento são da responsabilidade da entidade à qual é cometida a função de operação da entidade certifi- cadora raiz do Estado.

7 — Os membros do Conselho Gestor do SCEE não têm direito a auferir suplemento remuneratório pelo de- sempenho das suas funções, sem prejuízo da possibilidade do percebimento de abonos ou ajudas de custo, nos termos gerais.

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2173

Artigo 4.º Competências

1 — Compete ao Conselho Gestor do SCEE: a) Definir, de acordo com a lei e tendo em conta as

normas ou especificações internacionalmente reconheci- das, a política de certificação e as práticas de certificação a observar pelas entidades certificadoras que integram o SCEE;

b) Garantir que as declarações de práticas de certificação das várias entidades certificadoras do Estado, bem como da entidade certificadora raiz do Estado, estão em confor- midade com a política de certificação do SCEE;

c) Propor os critérios para aprovação das entidades certificadoras que pretendam integrar o SCEE;

d) Aferir a conformidade dos procedimentos seguidos pelas entidades certificadoras do Estado com as políticas e práticas aprovadas, sem prejuízo das competências le- galmente cometidas à autoridade credenciadora;

e) Pronunciar-se pela exclusão do SCEE das entida- des certificadoras em caso de não conformidade com as políticas e práticas aprovadas, comunicando tal facto à autoridade credenciadora;

f) Pronunciar-se sobre as melhores práticas internacio- nais no exercício das actividades de certificação electrónica e propor a sua aplicação;

g) Representar institucionalmente o SCEE.

2 — Compete, ainda, ao Conselho Gestor do SCEE a promoção das actividades necessárias para o estabele- cimento de acordos de interoperabilidade, com base em certificação cruzada, com outras infra-estruturas de chaves públicas, de natureza privada ou pública, nacionais ou internacionais, nomeadamente:

a) Dar indicações à entidade certificadora raiz do Estado para a atribuição e a revogação de certificados emitidos com base em certificação cruzada;

b) Definir os termos e condições para o início, a suspen- são ou a finalização dos procedimentos de interoperabili- dade com outras infra-estruturas de chaves públicas.

CAPÍTULO III

Entidade de Certificação Electrónica do Estado

Artigo 5.º Definição e competências

1 — A Entidade de Certificação Electrónica do Estado, enquanto entidade certificadora raiz do Estado, é o serviço certificador de topo da cadeia de certificação do SCEE que executa as políticas de certificados e directrizes aprovadas pelo Conselho Gestor do SCEE.

2 — Compete à Entidade de Certificação Electrónica do Estado admitir a integração das entidades certifica- doras que obedeçam aos requisitos estabelecidos no pre- sente decreto-lei, bem como prestar os serviços de certi- ficação às entidades certificadoras, no nível hierárquico imediatamente inferior ao seu na cadeia de certificação, em conformidade com as normas aplicáveis às entidades certificadoras estabelecidas em Portugal na emissão de certificados digitais qualificados.

3 — Para os efeitos previstos no número anterior, com- pete à Entidade de Certificação Electrónica do Estado

obter o certificado de credenciação referido no n.º 2 do artigo 8.º

4 — A Entidade de Certificação Electrónica do Estado disponibiliza exclusivamente os seguintes serviços de cer- tificação digital:

a) Processo de registo das entidades certificadoras; b) Geração de certificados, incluindo certificados qua-

lificados, e gestão do seu ciclo de vida; c) Disseminação dos certificados, das políticas e das

práticas de certificação; d) Gestão de revogações de certificados; e) Disponibilização do estado e da situação das revo-

gações referidas na alínea anterior.

5 — Compete, ainda, à Entidade de Certificação Elec- trónica do Estado:

a) Garantir o cumprimento e a implementação enquanto entidade certificadora de todas as regras e todos os pro- cedimentos estabelecidos no documento de políticas de certificação e na declaração de práticas de certificação do SCEE;

b) Implementar as políticas e práticas do Conselho Ges- tor do SCEE;

c) Gerir toda a infra-estrutura e os recursos que compõem e garantem o funcionamento da entidade certificadora raiz do Estado, nomeadamente o pessoal, os equipamentos e as instalações;

d) Gerir todas as actividades relacionadas com a gestão do ciclo de vida dos certificados por si emitidos para as entidades certificadoras de nível imediatamente inferior ao seu;

e) Garantir que o acesso às suas instalações principal e alternativa é efectuado apenas por pessoal devidamente autorizado e credenciado;

f) Gerir o recrutamento de pessoal tecnicamente habi- litado para a realização das tarefas de gestão e operação da entidade certificadora raiz do Estado;

g) Comunicar imediatamente qualquer incidente, nome- adamente anomalias ou falhas de segurança, ao Conselho Gestor do SCEE.

6 — A Entidade de Certificação Electrónica do Estado emite exclusivamente certificados para as entidades cer- tificadoras que lhe estejam subordinadas, não podendo emitir certificados destinados ao público.

7 — Podem filiar-se na Entidade de Certificação Elec- trónica do Estado as entidades certificadoras do Estado, bem como as entidades certificadoras públicas ou privadas a que alude o n.º 3 do artigo 1.º que obedeçam aos requi- sitos previstos no n.º 1 do artigo 7.º

Artigo 6.º Direcção e pessoal

1 — A Entidade de Certificação Electrónica do Estado é dirigida, por inerência, pelo director do Centro de Gestão da Rede Informática do Governo (CEGER).

2 — Desempenham funções na Entidade de Certifica- ção Electrónica do Estado, sem prejuízo do exercício de funções no lugar de origem, os técnicos do CEGER com as seguintes categorias:

a) Um consultor de sistemas, incumbido da articulação entre a Entidade de Certificação Electrónica do Estado e

2174 Diário da República, 1.ª série—N.º 70—9 de Abril de 2009

o Conselho Gestor do SCEE e entre aquela e as entidades certificadoras do Estado;

b) Um administrador de sistemas, autorizado a instalar, configurar e manter o sistema, tendo acesso controlado a configurações relacionadas com a segurança;

c) Um operador de sistemas, responsável por operar diariamente os sistemas, autorizado a realizar cópias de segurança e reposição de informação;

d) Um administrador de segurança, responsável pela gestão e implementação das regras e práticas de segu- rança;

e) Um administrador de registo, responsável pela apro- vação da emissão, pela suspensão e pela revogação de certificados;

f) Um auditor de sistemas, autorizado a monitorizar os arquivos de actividade dos sistemas.

3 — Nos termos da legislação em vigor, as funções de administrador de sistemas, de administrador de segurança e de auditor de sistemas devem ser desempenhadas por pessoas diferentes.

4 — Para os efeitos do disposto no n.º 2, o quadro de pessoal do CEGER pode ser alterado por portaria conjunta dos membros do Governo responsáveis pelas áreas das finanças e da Administração Pública e pelo CEGER.

CAPÍTULO IV

Entidades certificadoras do Estado

Artigo 7.º Requisitos

1 — São entidades certificadoras do Estado as entidades que exerçam funções de entidade certificadora nos termos do disposto no Decreto-Lei n.º 290-D/99, de 2 de Agosto, e respectiva regulamentação, e que:

a) Estejam admitidas como entidades certificadoras, nos termos do n.º 2 do artigo 5.º;

b) Actuem em conformidade com as declarações de práticas de certificação e com a política de cer- tificação e práticas aprovadas pelo Conselho Gestor do SCEE;

c) A autoridade credenciadora tenha capacidade de fis- calização directa sobre todos os serviços de certificação electrónica disponibilizados.

2 — (Revogado.) 3 — (Revogado.) 4 — As entidades certificadoras não podem emitir cer-

tificados de nível diverso do imediatamente subsequente ao seu, excepto nos casos de acordos de certificação lateral ou cruzada promovidos e aprovados pelo Conselho Gestor do SCEE.

5 — Os serviços de registo podem ser atribuídos a enti- dades, individuais ou colectivas, designadas como entida- des de registo, com as quais as entidades certificadoras do Estado acordam a prestação de serviços de identificação e registo de utilizadores de certificados, bem como a gestão de pedidos de revogação de certificados, nos termos do disposto no n.º 1 do artigo 4.º do Decreto Regulamentar n.º 25/2004, de 15 de Julho.

CAPÍTULO V

Autoridade credenciadora nacional

Artigo 8.º Autoridade credenciadora

1 — A autoridade credenciadora competente para o registo, a credenciação e a fiscalização das entidades certi- ficadoras compreendidas no SCEE é a Autoridade Nacional de Segurança.

2 — No âmbito da aplicação do artigo 1.º, a Autoridade Nacional de Segurança é competente para emitir o certifi- cado de credenciação das entidades certificadoras e exercer as competências de credenciação previstas no Decreto-Lei n.º 290-D/99, de 2 de Agosto.

3 — A Autoridade Nacional de Segurança é assistida, no exercício das suas competências, pelo conselho técnico de credenciação.

Artigo 9.º Conselho técnico de credenciação

1 — O conselho técnico de credenciação é um órgão consultivo da autoridade credenciadora, competindo-lhe pronunciar-se sobre todas as questões que a autoridade credenciadora lhe submeta.

2 — O conselho técnico de credenciação pode, ainda, por sua iniciativa, emitir pareceres ou recomendações à autoridade credenciadora.

Artigo 10.º Composição

O conselho técnico de credenciação é composto:

a) Pela Autoridade Nacional de Segurança, que pre- side;

b) Por duas personalidades designadas pelo Primeiro- -Ministro;

c) Por uma personalidade designada pelo Ministro da Administração Interna;

d) Por uma personalidade designada pelo Ministro da Justiça;

e) Por uma personalidade designada pelo Ministro da Ciência, Tecnologia e Ensino Superior;

f) Por um representante do ICP-ANACOM.

Artigo 11.º Reuniões

O conselho técnico de credenciação reúne ordinaria- mente de seis em seis meses e extraordinariamente por iniciativa do seu presidente.

Artigo 12.º Apoio logístico

O Gabinete Nacional de Segurança assegura o apoio logístico e administrativo ao conselho técnico de creden- ciação, suportando também os encargos inerentes ao seu funcionamento.

Artigo 13.º Colaboração com outras entidades

A autoridade credenciadora pode, no exercício das com- petências que lhe estão cometidas pelo presente decreto-lei,

Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2175

solicitar a outras entidades públicas ou privadas toda a colaboração que julgar necessária.

CAPÍTULO VI

Disposições finais e transitórias

Artigo 14.º Instalação e equipamento da Entidade de Certificação

Electrónica do Estado

Para além do previsto no presente decreto-lei, os demais aspectos regulamentares relacionados com a instalação e o equipamento da Entidade de Certificação Electrónica do Estado são regulados por despacho do membro do Governo responsável pelo CEGER.

Artigo 15.º Disposição transitória

No ano de 2006, a Secretaria-Geral da Presidência do Conselho de Ministros transfere para o Gabinete Nacional de Segurança os montantes necessários para o cumpri- mento do disposto no artigo 12.º do presente decreto-lei.

Artigo 16.º Alteração ao Decreto-Lei n.º 290-D/99, de 2 de Agosto

O artigo 9.º do Decreto-Lei n.º 290-D/99, com a redac- ção que lhe foi dada pelo Decreto-Lei n.º 62/2003, de 3 de Abril, passa a ter a seguinte redacção:

«Artigo 9.º [...]

1 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 — Sem prejuízo do disposto no número anterior, as

entidades certificadoras que emitam certificados qualifi- cados devem proceder ao seu registo junto da autoridade credenciadora, nos termos a fixar por portaria do membro do Governo responsável pela autoridade credenciadora.

3 — A credenciação e o registo estão sujeitos ao pa- gamento de taxas em função dos custos associados às tarefas administrativas, técnicas, operacionais e de fis- calização correspondentes, nos termos a fixar por despa- cho conjunto do membro do Governo responsável pela autoridade credenciadora e do Ministro das Finanças, que constituem receita da autoridade credenciadora.»

Artigo 17.º Aditamento ao Decreto-Lei n.º 290-D/99, de 2 de Agosto

É aditado ao Decreto-Lei n.º 290-D/99, com a redacção que lhe foi dada pelo Decreto-Lei n.º 62/2003, de 3 de Abril, o artigo 40.º-A, com a seguinte redacção:

«Artigo 40.º-A Credenciação de entidades certificadoras públicas

1 — As disposições constantes dos capítulos III e IV só são aplicáveis à actividade das entidades certificadoras públicas na estrita medida da sua adequação à natureza e às atribuições de tais entidades.

2 — Compete à autoridade credenciadora estabelecer os critérios de adequação da aplicação do disposto no

número anterior, para efeitos da emissão de certificados de credenciação a entidades certificadoras públicas a quem tal atribuição esteja legalmente cometida.

3 — Os certificados de credenciação podem ser emi- tidos, a título provisório, por períodos anuais renováveis até um máximo de três anos, sempre que a autoridade credenciadora considere necessário determinar procedi- mentos de melhor cumprimento dos requisitos técnicos aplicáveis.»

Artigo 18.º Norma revogatória

São revogados: a) O Decreto-Lei n.º 234/2000, de 25 de Setembro; b) A alínea i) do artigo 18.º do Decreto-Lei n.º 146/2000,

de 18 de Julho; c) A alínea j) do artigo 5.º do Decreto-Lei n.º 103/2001,

de 29 de Março.

Resolução do Conselho de Ministros n.º 31/2009 A República Portuguesa é membro do Fundo Asiático

de Desenvolvimento (FAsD), janela concessional do grupo do Banco Asiático de Desenvolvimento (BAsD), que se configura como um instrumento multilateral de financia- mento crucial na redução da pobreza na região da Ásia e do Pacífico.

Esta região tem registado taxas de crescimento elevadas e sustentadas, verificando-se, em anos mais recentes, uma taxa de crescimento média de cerca de 6% por ano. Con- tudo, e apesar do declínio verificado nas taxas de pobreza, estimativas do BAsD sugerem que 600 milhões de pessoas na região sobrevivem com menos de um dólar por dia.

A pobreza desligada do rendimento tem vindo a tornar- -se persistente, o que se evidencia pelos milhões de crianças a viver em situação de escassez de recursos alimentares, pelas elevadas taxas de mortalidade maternal e infantil, pela fraca qualidade na educação e pela falta de acesso a saneamento e água.

No âmbito do cumprimento dos Objectivos de Desen- volvimento do Milénio (ODM), os países da região da Ásia e do Pacífico estão empenhados em reduzir para metade a proporção da população que vive com menos de um dólar por dia; porém, afigura-se extremamente difícil reduzir a pobreza desligada do rendimento, objectivo igualmente incluído nos ODM. É neste contexto que o FAsD se cons- titui como a principal fonte de financiamento multilateral, altamente concessional, para 40 países asiáticos de baixo rendimento.

Os recursos do FAsD, reconstituídos numa base qua- drienal, provêm das contribuições dos países doadores do BAsD, e destinam-se a conceder empréstimos sem juros, bem como doações aos países membros mais pobres da região, cuja débil capacidade financeira inviabiliza o re- curso ao crédito do BAsD, incidindo as suas actividades no apoio a programas que visam o desenvolvimento sus- tentável, a melhoria das condições de vida das população e a boa governação.

As negociações da 9.ª reconstituição de recursos do FAsD (FAsD X), cujo objectivo principal passou por dotar a instituição de recursos financeiros e orientações estraté- gicas para a prossecução dos seus objectivos entre 2009 e 2012, iniciaram-se em Setembro de 2007 e prolongaram-se até Maio de 2008.