Art. 5a. - Art. 5 a : Portofelele europene pentru identitatea digitală - Regulamentul 910/23-iul-2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE
Acte UE
Jurnalul Oficial 257L
În vigoare Versiune de la: 20 Mai 2024 până la: 17 Octombrie 2024
Art. 5a: Portofelele europene pentru identitatea digitală
(1)În scopul garantării faptului că toate persoanele fizice şi juridice din Uniune au un acces transfrontalier securizat, fiabil şi neîntrerupt la servicii publice şi private, păstrând totodată controlul deplin asupra datelor lor, fiecare stat membru furnizează cel puţin un portofel european pentru identitatea digitală în termen de 24 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la alineatul (23) de la prezentul articol şi la articolul 5c alineatul (6).
(2)Portofelele europene pentru identitatea digitală sunt furnizate în unul sau mai multe dintre următoarele moduri:
a)direct de către un stat membru;
b)pe baza unui mandat din partea unui stat membru;
c)în mod independent de un stat membru, dar fiind recunoscute de respectivul stat membru.
(3)Codul sursă al componentelor de software ale aplicaţiei portofelelor europene pentru identitatea digitală face obiectul unei licenţe cu sursă deschisă. Statele membre pot prevedea ca, din motive justificate în mod corespunzător, codul sursă al anumitor componente, altele decât cele instalate pe dispozitivele utilizatorilor, să nu fie divulgat.
(4)Portofelele europene pentru identitatea digitală permit utilizatorului, într-un mod transparent şi uşor de utilizat şi de urmărit de către acesta:
a)să solicite, să obţină, să selecteze, să combine, să stocheze, să şteargă, să partajeze şi să prezinte în condiţii de siguranţă, exclusiv sub controlul utilizatorului, datele de identificare personală şi, după caz, în combinaţie cu atestate electronice ale atributelor, să se autentifice beneficiarilor online şi, după caz, în mod offline, pentru a accesa servicii publice şi private, asigurând, în acelaşi timp, că este posibilă divulgarea selectivă a datelor;
b)să genereze pseudonime şi să le stocheze local şi în formă criptată în portofelul european pentru identitatea digitală;
c)să autentifice în condiţii de siguranţă portofelul european pentru identitatea digitală al unei alte persoane şi să primească şi partajeze date de identificare personală şi atestate electronice ale atributelor într-un mod securizat între cele două portofele europene pentru identitatea digitală;
d)să acceseze o evidenţă a tuturor tranzacţiilor efectuate cu ajutorul portofelului european pentru identitatea digitală prin intermediul unui tablou de bord comun care să permită utilizatorului:
(i)să vizualizeze o listă actualizată a beneficiarilor cu care utilizatorul a stabilit o conexiune şi, după caz, a tuturor datelor partajate;
(ii)să solicite cu uşurinţă unui beneficiar să şteargă datele cu caracter personal în temeiul articolului 17 din Regulamentul (UE) 2016/679;
(iii)să semnaleze cu uşurinţă un beneficiar autorităţii naţionale competente pentru protecţia datelor, atunci când se primeşte o cerere de date presupus ilegală sau suspectă;
e)să semneze prin intermediul semnăturilor electronice calificate sau să sigileze prin intermediul sigiliilor electronice calificate;
f)să descarce, în măsura în care acest lucru este fezabil din punct de vedere tehnic, datele, atestatul electronic al atributelor şi configuraţiile utilizatorului;
g)să exercite dreptul utilizatorului la portabilitatea datelor.
(5)În special, portofelele europene pentru identitatea digitală:
a)permit utilizarea unor protocoale şi interfeţe comune:
(i)pentru emiterea datelor de identificare personală, a atestatelor electronice calificate şi necalificate ale atributelor sau a certificatelor calificate şi necalificate către portofelul european pentru identitatea digitală;
(ii)pentru ca beneficiarii să solicite şi să valideze date de identificare personală şi atestate electronice ale atributelor;
(iii)pentru partajarea şi prezentarea către beneficiari a datelor de identificare personală, a atestatului electronic al atributelor sau a datelor conexe divulgate selectiv online şi, după caz, în mod offline;
(iv)pentru ca utilizatorul să permită interacţiunea cu portofelul european pentru identitatea digitală şi să afişeze o marcă de încredere a portofelului UE pentru identitatea digitală;
(v)pentru a realiza integrarea în condiţii de siguranţă a utilizatorului prin utilizarea unui mijloc de identificare electronică în conformitate cu articolul 5a alineatul (24);
(vi)pentru interacţiunea între portofelele europene pentru identitatea digitală a două persoane în scopul de a primi, a valida şi a partaja date de identificare personală şi atestate electronice ale atributelor într-un mod securizat;
(vii)pentru autentificarea şi identificarea beneficiarilor prin punerea în aplicare a mecanismelor de autentificare în conformitate cu articolul 5b;
(viii)pentru ca beneficiarii să verifice autenticitatea şi valabilitatea portofelelor europene pentru identitatea digitală;
(ix)pentru a solicita unui beneficiar să şteargă datele cu caracter personal în temeiul articolului 17 din Regulamentul (UE) 2016/679;
(x)pentru a semnala un beneficiar autorităţii naţionale pentru protecţia datelor competente în cazul în care se primeşte o cerere de date presupus ilegală sau suspectă;
(xi)pentru crearea de semnături sau sigilii electronice calificate prin intermediul dispozitivelor de creare a semnăturilor electronice sau a sigiliilor electronice calificate;
b)nu oferă prestatorilor de servicii de încredere care furnizează atestate electronice ale atributelor nicio informaţie cu privire la utilizarea respectivelor atestate electronice;
c)asigură faptul că beneficiarii pot fi autentificaţi şi identificaţi prin punerea în aplicare a unor mecanisme de autentificare în conformitate cu articolul 5b;
d)îndeplinesc cerinţele prevăzute la articolul 8 în ceea ce priveşte nivelul de asigurare ridicat, în special în ceea ce priveşte cerinţele privind dovedirea şi verificarea identităţii, precum şi gestionarea şi autentificarea mijloacelor de identificare electronică;
e)în cazul atestatelor electronice ale atributelor cu politici de divulgare încorporate, pune în aplicare mecanismul adecvat pentru a informa utilizatorul că beneficiarul sau utilizatorul portofelului european pentru identitatea digitală care solicită atestatul electronic al atributelor în cauză are permisiunea de a accesa astfel de atestate;
f)asigură faptul că datele de identificare personală, care sunt disponibile din sistemul de identificare electronică în cadrul căruia este furnizat portofelul european pentru identitatea digitală, reprezintă în mod unic persoana fizică, persoana juridică sau persoana fizică ce reprezintă persoana fizică sau juridică şi sunt asociate cu respectivul portofel european pentru identitatea digitală;
g)oferă tuturor persoanelor fizice posibilitatea de a semna prin intermediul semnăturilor electronice calificate în mod implicit şi gratuit.
Prin excepţie de la dispoziţiile de la primul paragraf litera (g), statele membre pot să prevadă măsuri proporţionale pentru a asigura faptul că utilizarea gratuită a semnăturilor electronice calificate de către persoanele fizice este limitată la scopuri neprofesionale.
(6)Statele Membre informează utilizatorii, fără întârziere, despre orice încălcare a securităţii care le-ar fi putut compromite total sau parţial portofelul european pentru identitatea digitală sau conţinutul lui, în special dacă portofelul european pentru identitatea digitală al utilizatorilor a fost suspendat sau revocat în conformitate cu articolul 5e.
(7)Fără a aduce atingere articolul 5f, statele membre pot să prevadă, în conformitate cu dreptul intern, funcţionalităţi suplimentare ale portofelelor europene pentru identitatea digitală, inclusiv interoperabilitatea cu mijloacele naţionale de identificare electronică existente. Aceste funcţionalităţi suplimentare trebuie să fie conforme cu prezentul articol.
(8)Statele membre pun la dispoziţie cu titlu gratuit mecanisme de validare pentru:
a)a asigura faptul că autenticitatea şi valabilitatea portofelelor europene pentru identitatea digitală pot fi verificate;
b)a permite utilizatorilor să verifice autenticitatea şi valabilitatea identităţii beneficiarilor înregistraţi în conformitate cu articolul 5b.
(9)Statele membre se asigură că valabilitatea portofelului european pentru identitatea digitală poate fi revocată în următoarele circumstanţe:
a)la cererea explicită a utilizatorului;
b)în cazul în care a fost compromisă securitatea portofelului european pentru identitatea digitală;
c)în caz de deces al utilizatorului sau de încetare a activităţii persoanei juridice.
(10)Furnizorii de portofele europene pentru identitatea digitală se asigură că utilizatorii pot solicita cu uşurinţă asistenţă tehnică şi pot raporta problemele tehnice sau orice alte incidente care au impact negativ asupra utilizării portofelului european pentru identitatea digitală.
(11)Portofelele europene pentru identitatea digitală sunt furnizate în cadrul unui sistem de identificare electronică având nivelul de asigurare ridicat.
(12)Portofelele europene pentru identitatea digitală garantează securitatea de la stadiul conceperii.
(13)Portofelele europene pentru identitatea digitală se emit, se utilizează şi sunt revocate în mod gratuit pentru toate persoanele fizice.
(14)Utilizatorii au controlul deplin asupra utilizării portofelului lor european pentru identitatea digitală şi asupra datelor din acesta. Furnizorul portofelului european pentru identitatea digitală nu colectează informaţii cu privire la utilizarea portofelului european pentru identitatea digitală care nu sunt necesare pentru furnizarea serviciilor oferite de portofelul european pentru identitatea digitală şi nici nu combină date de identificare personală sau orice alte date cu caracter personal stocate sau legate de utilizarea portofelului european pentru identitatea digitală cu date cu caracter personal provenind de la orice alte servicii oferite de respectivul furnizor sau de la servicii furnizate de terţi care nu sunt necesare pentru furnizarea serviciilor oferite de portofelul european pentru identitatea digitală, cu excepţia cazului în care utilizatorul a solicitat în mod expres contrariul. Datele cu caracter personal legate de punerea la dispoziţie de portofele europene pentru identitatea digitală sunt păstrate separate logic de orice alte date deţinute de furnizorul de portofele europene pentru identitatea digitală. În cazul în care portofelul european pentru identitatea digitală este furnizat de părţi private în conformitate cu alineatul (2) literele (b) şi (c) de la prezentul articol, dispoziţiile articolului 45h alineatul (3) se aplică mutatis mutandis.
(15)Utilizarea portofelelor europene pentru identitatea digitală este voluntară. Accesul la serviciile publice şi private, accesul la piaţa muncii şi libertatea de a desfăşura o activitate comercială nu sunt în niciun fel restricţionate sau permise în condiţii mai dezavantajoase pentru persoanele fizice sau juridice care nu utilizează portofelele europene pentru identitatea digitală. Accesul la serviciile publice şi private rămâne posibil prin alte mijloace de identificare şi autentificare existente.
(16)Cadrul tehnic al portofelului european pentru identitatea digitală:
a)nu permite furnizorilor de atestate electronice ale atributelor sau oricărei alte părţi, după emiterea atestatelor atributelor, să obţină date care permit urmărirea, conectarea sau corelarea tranzacţiilor sau a comportamentul utilizatorului sau obţinerea în alt mod de cunoştinţe privind tranzacţiile sau comportamentul utilizatorului, cu excepţia cazului în care utilizatorul autorizează în mod explicit acest lucru;
b)permite aplicarea unor tehnici de protecţie a vieţii private care asigură imposibilitatea stabilirii unei legături, în cazul în care atestarea atributelor nu necesită identificarea utilizatorului.
(17)Orice prelucrare a datelor cu caracter personal efectuată de statele membre sau, în numele acestora, de organisme sau părţi responsabile de furnizarea portofelelor europene pentru identitatea digitală drept mijloace de identificare electronică se efectuează în conformitate cu măsuri adecvate şi eficace de protecţie a datelor. Trebuie să se demonstreze conformitatea unei astfel de prelucrări cu Regulamentul (UE) 2016/679. Statele membre pot adopta dispoziţii de drept intern pentru a preciza mai în detaliu aplicarea acestor măsuri.
(18)Statele membre transmit Comisiei, fără întârzieri nejustificate, informaţii cu privire la:
a)organismul responsabil cu întocmirea şi menţinerea listei beneficiarilor înregistraţi care recurg la portofelele europene pentru identitatea digitală în conformitate cu articolul 5b alineatul (5) şi localizarea acestei liste;
b)organismele responsabile de furnizarea portofelelor europene pentru identitatea digitală în conformitate cu articolul 5a alineatul (1);
c)organismele responsabile de asigurarea faptului că datele de identificare personală sunt asociate cu portofelul european pentru identitatea digitală în conformitate cu articolul 5a alineatul (5) litera (f);
d)mecanismul care permite validarea datelor de identificare personală menţionate la articolul 5a alineatul (5) litera (f) şi a identităţii beneficiarilor;
e)mecanismul de validare a autenticităţii şi valabilităţii portofelelor europene pentru identitatea digitală.
Comisia pune informaţiile transmise în temeiul primului paragraf la dispoziţia publicului prin intermediul unui canal sigur, într-o formă purtând o semnătură electronică sau un sigiliu electronic adecvate pentru prelucrarea automată.
(19)Fără a aduce atingere alineatului (22) de la prezentul articol, articolul 11 se aplică mutatis mutandis portofelului european pentru identitatea digitală.
(20)Articolul 24 alineatul (2) litera (b) şi literele (d)-(h) se aplică mutatis mutandis furnizorilor de portofelele europene pentru identitatea digitală.
(21)Se asigură accesibilitatea portofelelor europene pentru identitatea digitală pentru ca persoanele cu dizabilităţi să le poată utiliza în aceleaşi condiţii ca şi ceilalţi utilizatori, în conformitate cu Directiva (UE) 2019/882 a Parlamentului European şi a Consiliului (*2).
(*2)Directiva (UE) 2019/882 a Parlamentului European şi a Consiliului din 17 aprilie 2019 privind cerinţele de accesibilitate aplicabile produselor şi serviciilor (JO L 151, 7.6.2019, p. 70).
(22)În scopul furnizării portofelelor europene pentru identitatea digitală, portofelelor europene pentru identitatea digitală şi sistemelor de identificare electronică în cadrul cărora sunt furnizate nu li se aplică cerinţele prevăzute la articolele 7, 9, 10, 12 şi 12a.
(23)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatele (4), (5), (8) şi (18) de la prezentul articol, privind implementarea portofelului european pentru identitatea digitală. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(24)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii tehnice şi proceduri pentru a facilita integrarea utilizatorilor în sistemul reprezentat de portofelul european pentru identitatea digitală fie prin mijloace de identificare electronică conforme cu nivelul de asigurare ridicat, fie prin mijloace de identificare electronică conforme cu nivelul de asigurare substanţial combinate cu proceduri suplimentare de integrare la distanţă care, împreună, îndeplinesc cerinţele nivelului de asigurare ridicat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).