DL 88.2009 PDF

Diário da República, 1.ª série — N.
º 70 — 9 de Abril de 2009 2159
PRESIDÊNCIA DO CONSELHO DE MINISTROS cias de compatibilização com a Directiva n.º 1999/93/CE,

do Parlamento Europeu e do Conselho, de 13 de Dezembro,
Decreto-Lei n.º 88/2009 o presente decreto-lei procede à respectiva harmonização
com o Decreto-Lei n.º 116-A/2006, de 16 de Junho, desig-
de 9 de Abril nadamente no que diz respeito à utilização de certificados
qualificados por entidades públicas.
O plano tecnológico constitui um dos pilares da agenda
Por outro lado, o regime constante do Decreto-Lei
de mudança levada a cabo pelo XVII Governo Constitucio-
n.º 290-D/99, de 2 de Agosto, embora muito detalhado na
nal para mobilizar a sociedade portuguesa para os desafios
regulamentação da natureza da certificação electrónica e
de modernização. No quadro desta agenda, o Governo esta-
dos documentos e actos jurídicos electrónicos, bem como
beleceu como prioridade para as políticas públicas a adop-
do acesso à actividade de certificação electrónica, carecia da
ção de um conjunto de iniciativas de modernização tecnoló-
gica que tiveram por objectivo facilitar a vida dos cidadãos previsão um quadro sancionatório adequado ao exercício da
e a actividade das empresas, bem como aumentar a dispo- fiscalização pelas autoridades administrativas competentes à
nibilidade e melhorar a qualidade dos serviços públicos. semelhança do que acontece noutros ordenamentos jurídicos.
O esforço qualitativo das políticas públicas adoptadas Com efeito, a desejável massificação da utilização de certifi-
permitiu a Portugal iniciar, nos últimos anos, um processo cados digitais qualificados, tanto para efeitos de autenticação
de evolução e convergência no quadro internacional, em como para efeitos de assinatura electrónica qualificada, com
termos de inovação e de modernização tecnológicas. Um a força probatória que passa a ser reconhecida aos documen-
dos domínios em que Portugal alcançou, de forma mais tos electrónicos correspondentes, exige que se introduza um
acelerada, resultados mais evidentes foi na implementação conjunto de sanções com um efeito simultaneamente preven-
de uma infra-estrutura de chaves públicas plenamente apta a tivo e persuasivo do estrito cumprimento das normas legais
assegurar mecanismos de autenticação digital de identidades pelas entidades certificadoras que operem neste mercado.
e assinaturas electrónicas qualificadas. Nesse sentido, foi Relativamente ao Sistema de Certificação Electrónica
crucial, a criação, através do Decreto-Lei n.º 116-A/2006, do Estado, as alterações introduzidas pelo presente decreto-
de 16 de Junho, do Sistema de Certificação Electrónica -lei visam permitir o reconhecimento pela Entidade de
do Estado, tanto no plano institucional como técnico, para Certificação Electrónica do Estado de entidades certifica-
assegurar a unidade, a integração e a eficácia de uma hie- doras públicas ou privadas que exerçam, fora do Sistema
rarquia de confiança que garantisse a segurança electrónica de Certificação Electrónica do Estado, funções de enti-
e a autenticação digital forte das transacções electrónicas dade certificadora nos termos do disposto no Decreto-Lei
realizadas entre os vários serviços e organismos da Adminis- n.º 290-D/99, de 2 de Agosto.
tração Pública e entre o Estado e os cidadãos e as empresas. A possibilidade de a Entidade de Certificação Electrónica
O Sistema de Certificação Electrónica do Estado veio do Estado emitir certificados para as entidades certificado-
igualmente permitir desenvolver e potenciar um conjunto ras que actuem fora do Sistema de Certificação Electrónica
de programas públicos para a promoção das tecnologias do Estado permitirá assegurar às demais entidades certi-
de informação e comunicação e a introdução de novos ficadoras nacionais o reconhecimento internacional dos
processos de relacionamento em sociedade, entre cidadãos, respectivos certificados, bem como beneficiar de acordos
empresas, organizações não governamentais e o Estado, de interoperabilidade que o Sistema de Certificação Elec-
com vista ao fortalecimento da sociedade da informação trónica do Estado celebre com outras infra-estruturas de
e do governo electrónico (e-government). chaves públicas. Por outro lado, tendo em conta as elevadas
Por outro lado, o acesso generalizado dos cidadãos e das exigências técnicas e administrativas impostas no âmbito
empresas à Internet, bem como o dinamismo da actividade do Sistema de Certificação Electrónica do Estado, a inte-
empresarial e da sociedade civil na incorporação das novas gração daquelas entidades não só reforçará a confiança nos
tecnologias de informação e comunicação, veio criar novas certificados por estas emitidos como lhes conferirá um nível
necessidades e desafios à distribuição e prestação de bens e de robustez mais elevado que permitirá tornar mais compe-
serviços por entidades privadas através de meios electrónicos. titivos os respectivos serviços de certificação oferecidos.
Sem deixar de lado a necessidade de manter uma arqui- Foram ouvidos os órgãos de governo próprio das Re-
tectura estável para o Sistema de Certificação Electrónica giões Autónomas.
do Estado, assente em critérios que assegurem o seu bom Assim:
funcionamento e que não deixem de promover a sua racio- Nos termos da alínea a) do n.º 1 do artigo 198.º da Cons-
nalidade económica e a eficácia e eficiência na prestação tituição, o Governo decreta o seguinte:
de serviços de certificação electrónica, procura-se, através
do presente decreto-lei, ir ao encontro da evolução recente Artigo 1.º
verificada em Portugal e, tendo em conta a necessidade Alteração ao Decreto-Lei n.º 290-D/99, de 2 de Agosto
de garantir uma melhor protecção jurídica da utilização
das novas tecnologias de informação e comunicação nos Os artigos 5.º, 28.º, 29.º, 38.º e 40.º do Decreto-Lei
sectores público e privado, procede-se à quarta alteração n.º 290-D/99, de 2 de Agosto, alterado pelos Decretos-Leis
ao Decreto-Lei n.º 290-D/99, de 2 de Agosto, que estabe- n.os 62/2003, de 3 de Abril, 165/2004, de 7 de Junho, e
lece o regime jurídico dos documentos electrónicos e da 116-A/2006, de 16 de Junho, passam a ter a seguinte redacção:
assinatura digital, e à primeira alteração ao Decreto-Lei
n.º 116-A/2006, de 16 de Junho, que criou o Sistema de «Artigo 5.º
Certificação Electrónica do Estado — Infra-Estrutura de Documentos electrónicos das entidades públicas
Chaves Públicas e designou a Autoridade Nacional de
Segurança como autoridade credenciadora nacional. 1 — As entidades públicas podem emitir docu-
No que diz respeito ao regime dos documentos electróni- mentos electrónicos com assinatura electrónica qua-
cos e da assinatura electrónica e salvaguardadas as exigên- lificada aposta em conformidade com as normas do
2160 Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009
presente decreto-lei e com o disposto no Decreto-Lei tificados qualificados emitidos pelas entidades referidas
n.º 116-A/2006, de 16 de Junho. nos n.os 1, 2 e 3.
2 — Nas operações relativas à criação, emissão, ar-
quivo, reprodução, cópia e transmissão de documentos Artigo 40.º
electrónicos que formalizem actos administrativos atra- […]
vés de sistemas informáticos, incluindo a sua transmis-
são por meios de telecomunicações, os dados relativos A autoridade credenciadora competente para o re-
à entidade interessada e à pessoa que tenha praticado gisto, credenciação e fiscalização das entidades cer-
cada acto administrativo podem ser indicados de forma tificadoras que emitam certificados qualificados é a
a torná-los facilmente identificáveis e a comprovar a Autoridade Nacional de Segurança.»
função ou cargo desempenhado pela pessoa signatária
de cada documento. Artigo 2.º
Aditamento ao Decreto-Lei n.º 290-D/99, de 2 de Agosto
Artigo 28.º
São aditados os artigos 36.º-A, 36.º-B e 36.º-C ao
[…]
Decreto-Lei n.º 290-D/99, de 2 de Agosto, alterado pelos
1— ..................................... Decretos-Leis n.os 62/2003, de 3 de Abril, 165/2004, de 7
2— ..................................... de Junho, e 116-A/2006, de 16 de Junho, com a seguinte
3— ..................................... redacção:
4— .....................................
«Artigo 36.º-A
a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contra-ordenações
c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 — Constitui contra-ordenação:
d) À força probatória dos documentos aos quais seja
aposta uma assinatura electrónica. a) A emissão por entidades certificadoras de cer-
tificados qualificados sem o prévio registo junto da
5— ..................................... autoridade credenciadora;
b) A violação pela entidade certificadora dos deveres
Artigo 29.º previstos nas alíneas d), f), g), h), i), j), n), q) e r) do
artigo 24.º;
[…] c) A falta de fornecimento pela entidade certificadora
1— ..................................... aos utilizadores das informações previstas na alínea l)
do artigo 24.º e no n.º 4 do artigo 28.º;
a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) A prestação de falsas informações quanto à força
b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . probatória dos certificados;
c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) A violação pela entidade certificadora de qualquer
d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dos deveres previstos no artigo 25.º;
e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) A violação pela entidade certificadora dos deveres
f) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . de comunicação previstos nos n.os 1 e 2 do artigo 27.º;
g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g) A violação dos deveres previstos no n.º 3 do ar-
h) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . tigo 28.º;
i) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . h) A falta de organização e manutenção do registo a
j) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . que se refere o n.º 5 do artigo 28.º, bem com a respectiva
l) Indicação sempre que a chave privada do titular actualização;
esteja armazenada num dispositivo seguro de criação i) A falta de uma ou mais das informações previstas
de assinatura. no n.º 1 do artigo 29.º;
j) A não suspensão de um certificado pela entidade
2— ..................................... certificadora sempre que se verifique algumas das si-
tuações previstas no n.º 1 do artigo 30.º;
Artigo 38.º l) A não revogação de um certificado pela entidade
[…] certificadora sempre que se verifique algumas das si-
tuações previstas no n.º 3 do artigo 30.º;
1— ..................................... m) A violação do dever de conservação previsto no
2— ..................................... n.º 6 do artigo 30.º;
3— ..................................... n) O condicionamento da comercialização ou pres-
4— ..................................... tação de um determinado bem ou serviço, nele se in-
5 — É igualmente aplicável às entidades referidas cluindo a venda exclusivamente em conjunto, à escolha
nos n.os 1, 2 e 3 que exerçam actividade em Portugal a de determinada entidade certificadora;
obrigação de registo a que se refere o n.º 2 do artigo 9.º, o) A prestação de declarações e informações falsas
por forma a garantir a demonstração de que estas se ou incompletas no âmbito do processo de credenciação
encontram plenamente equiparadas às entidades certi- previsto nos artigos 12.º e seguintes;
ficadoras nos termos do presente decreto-lei. p) A violação dos deveres previstos nos n.os 7 e 8 do
6 — A obrigação de registo referida no número an- artigo 30.º;
terior é extensível às entidades nacionais que prestem q) A violação dos deveres de informação previstos
serviços de certificação electrónica com recurso a cer- no n.º 1 do artigo 32.º
Diário da República, 1.ª série — N.º 70 — 9 de Abril de 2009 2161
2 — Constitui ainda contra-ordenação: «Artigo 1.º

a) O incumprimento dos prazos previstos no n.º 3 […]
do artigo 13.º; 1— .....................................
b) A falta de comunicação pelas entidades certifi-
2 — Só podem prestar serviços de certificação elec-
cadoras, dentro do prazo, das alterações previstas no
trónica para as entidades públicas estaduais e para os
artigo 22.º;
serviços e organismos da Administração Pública ou
c) A violação pela entidade certificadora dos deveres
outras entidades que exerçam funções de certificação no
previstos nas alíneas o) e p) do artigo 24.º;
cumprimento de fins públicos daquela as entidades cer-
d) A falta de comunicação ao respectivo titular da
decisão de suspensão e revogação de certificados qua- tificadoras do Estado reconhecidas no âmbito do SCEE.
lificados prevista, respectivamente, nos n.os 2 e 4 do 3 — O SCEE pode reconhecer fora do seu âmbito, para
artigo 30.º; efeitos de filiação na entidade certificadora raiz do Estado,
e) A violação dos deveres de informação previstos outras entidades certificadoras públicas ou privadas que
nos n.os 2 e 3 do artigo 32.º; exerçam funções de entidade certificadora nos termos do
f) O não cumprimento do disposto no artigo 33.º; disposto no Decreto-Lei n.º 290-D/99, de 2 de Agosto, e que
g) A violação do dever de comunicação previsto no obedeçam aos requisitos previstos no presente decreto-lei.
artigo 34.º 4 — As entidades certificadoras públicas e privadas
referidas no número anterior não integram o SCEE.
Artigo 36.º-B
Artigo 3.º
Sanções
[…]
1 — Às contra-ordenações previstas no n.º 1 do
artigo anterior são aplicáveis coimas entre € 1500 e 1— .....................................
€ 3740,98, no caso de se tratar de pessoas singulares, 2— .....................................
e entre € 15 000 e € 44 891,81, no caso de se tratar de a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
pessoas colectivas. b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 — Às contra-ordenações previstas no n.º 2 do arti- c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
go anterior são aplicáveis coimas entre € 500 e € 2500, d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
no caso de se tratar de pessoas singulares, e entre € 6000 e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
e € 30 000, no caso de se tratar de pessoas colectivas. f) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 — A negligência é punível, sendo os limites mínimos g) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
e máximos das coimas aplicáveis reduzidos a metade. h) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 — Conjuntamente com as coimas previstas nos i) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
números anteriores e sem prejuízo de outras sanções j) Agência para a Modernização Administrativa, I. P.;
previstas no presente decreto-lei, pode ainda ser apli- l) Um representante de cada entidade certificadora pú-
cada, em função da gravidade da infracção e da culpa do blica integrada no SCEE que não esteja representada por
agente, a sanção acessória de interdição do exercício da nenhuma das entidades referidas nas alíneas anteriores.
actividade de entidade certificadora que emite certifica-
dos qualificados até ao período máximo de dois anos. 3— .....................................
5 — Sempre que seja cometida alguma das contra- 4— .....................................
-ordenações a que se refere o n.º 1 do artigo anterior, 5— .....................................
deva dela dar-se publicidade no sítio na Internet da 6— .....................................
autoridade credenciadora, bem como no registo a que 7— .....................................
se refere o n.º 2 do artigo 9.º
Artigo 4.º
Artigo 36.º-C
[…]
Processo contra-ordenacional
1— .....................................
1 — Compete à autoridade credenciadora proceder à
instrução dos processos de contra-ordenação e sanção a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
acessória, sendo o seu director-geral competente para b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
a aplicação das coimas. c) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 — O produto resultante da aplicação das coimas d) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
reverte em 60 % para o Estado e em 40 % para a auto- e) Pronunciar-se pela exclusão do SCEE das entida-
ridade credenciadora. des certificadoras em caso de não conformidade com
3 — Em tudo o que não estiver previsto no presente as políticas e práticas aprovadas, comunicando tal facto
capítulo, é aplicável subsidiariamente o regime geral à autoridade credenciadora.
do ilícito de mera ordenação social.»
2— .....................................
Artigo 3.º
Artigo 5.º
Alteração ao Decreto-Lei n.º 116-A/2006, de 16 de Junho
[…]
Os artigos 1.º, 3.º, 4.º, 5.º, 7.º e 8.º do Decreto-Lei
n.º 116-A/2006, de 16 de Junho, passam a ter a seguinte 1— .....................................
redacção: 2— .....................................
3— ..................................... Artigo 6.º

4— ..................................... Republicação
5— .....................................
6 — A Entidade de Certificação Electrónica do Es- 1 — É republicado, no anexo I do presente decreto-lei,
tado emite exclusivamente certificados para as entida- do qual faz parte integrante, o Decreto-Lei n.º 290-D/99,
des certificadoras que lhe estejam subordinadas, não de 2 de Agosto, com a redacção actual.
podendo emitir certificados destinados ao público. 2 — É republicado, no anexo II do presente decreto-lei,
7 — Podem filiar-se na Entidade de Certificação do qual faz parte integrante, o Decreto-Lei n.º 116-A/2006,
Electrónica do Estado as entidades certificadoras do de 16 de Junho, com a redacção actual.
Estado, bem como as entidades certificadoras públicas Visto e aprovado em Conselho de Ministros de 5 de
ou privadas a que alude o n.º 3 do artigo 1.º que obede- Março de 2009. — José Sócrates Carvalho Pinto de Sou-
çam aos requisitos previstos no n.º 1 do artigo 7.º sa — Fernando Teixeira dos Santos — Manuel Pedro
Cunha da Silva Pereira — José Manuel dos Santos de
Artigo 7.º Magalhães — Alberto Bernardes Costa — Mário Lino
[…] Soares Correia — José Mariano Rebelo Pires Gago.
1 — São entidades certificadoras do Estado as entida- Promulgado em 27 de Março de 2009.
des que exerçam funções de entidade certificadora nos Publique-se.
termos do disposto no Decreto-Lei n.º 290-D/99, de 2
de Agosto, e respectiva regulamentação, e que: O Presidente da República, ANÍBAL CAVACO SILVA.
a) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referendado em 31 de Março de 2009.
b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . O Primeiro-Ministro, José Sócrates Carvalho Pinto
c) A autoridade credenciadora tenha capacidade de de Sousa.
fiscalização directa sobre todos os serviços de certifi-
cação electrónica disponibilizados. ANEXO I
2 — (Revogado.) (a que se refere o n.º 1 do artigo 5.º)

3 — (Revogado.)
4— ..................................... Republicação do Decreto-Lei n.º 290-D/99, de 2 de Agosto
5 — Os serviços de registo podem ser atribuídos a
entidades, individuais ou colectivas, designadas como
entidades de registo, com as quais as entidades certifica- CAPÍTULO I
doras acordam a prestação de serviços de identificação Documentos e actos jurídicos electrónicos
e registo de utilizadores de certificados, bem como a
gestão de pedidos de revogação de certificados, nos Artigo 1.º
termos do disposto no n.º 1 do artigo 4.º do Decreto
Regulamentar n.º 25/2004, de 15 de Julho. Objecto
O presente diploma regula a validade, eficácia e va-
Artigo 8.º lor probatório dos documentos electrónicos, a assinatura
[…] electrónica e a actividade de certificação de entidades
certificadoras estabelecidas em Portugal.
1 — A autoridade credenciadora competente para o
registo, a credenciação e a fiscalização das entidades Artigo 2.º
certificadoras compreendidas no SCEE é a Autoridade
Nacional de Segurança. Definições
2 — No âmbito da aplicação do artigo 1.º, a Autori- Para os fins do presente diploma, entende-se por:
dade Nacional de Segurança é competente para emitir o
certificado de credenciação das entidades certificadoras a) «Documento electrónico» o documento elaborado
e exercer as competências de credenciação previstas no mediante processamento electrónico de dados;
Decreto-Lei n.º 290-D/99, de 2 de Agosto. b) «Assinatura electrónica» o resultado de um proces-
3 — . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .» samento electrónico de dados susceptível de constituir
objecto de direito individual e exclusivo e de ser utilizado
Artigo 4.º para dar a conhecer a autoria de um documento electrónico;
c) «Assinatura electrónica avançada» a assinatura elec-
Epígrafe trónica que preenche os seguintes requisitos:
O capítulo IV do Decreto-Lei n.º 290-D/99, de 2 de i) Identifica de forma unívoca o titular como autor do
Agosto, passa a ter como epígrafe «Fiscalização e regime documento;
sancionatório». ii) A sua aposição ao documento depende apenas da
vontade do titular;
Artigo 5.º iii) É criada com meios que o titular pode manter sob
Norma revogatória
seu controlo exclusivo;
iv) A sua conexão com o documento permite detec-
São revogados os n.os 2 e 3 do artigo 7.º do Decreto-Lei tar toda e qualquer alteração superveniente do conteúdo
n.º 116-A/2006, de 16 de Junho. deste;
d) «Assinatura digital» a modalidade de assinatura elec- o) «Entidade certificadora» a entidade ou pessoa singu-
trónica avançada baseada em sistema criptográfico assi- lar ou colectiva que cria ou fornece meios para a criação e
métrico composto de um algoritmo ou série de algoritmos, verificação das assinaturas, emite os certificados, assegura
mediante o qual é gerado um par de chaves assimétricas a respectiva publicidade e presta outros serviços relativos
exclusivas e interdependentes, uma das quais privada e a assinaturas electrónicas;
outra pública, e que permite ao titular usar a chave privada p) «Certificado» o documento electrónico que liga os
para declarar a autoria do documento electrónico ao qual dados de verificação de assinatura ao seu titular e confirma
a assinatura é aposta e concordância com o seu conteúdo a identidade desse titular;
e ao destinatário usar a chave pública para verificar se a q) «Certificado qualificado» o certificado que contém
assinatura foi criada mediante o uso da correspondente os elementos referidos no artigo 29.º e é emitido por en-
chave privada e se o documento electrónico foi alterado tidade certificadora que reúne os requisitos definidos no
depois de aposta a assinatura; artigo 24.º;
e) «Chave privada» o elemento do par de chaves assi-
r) «Titular» a pessoa singular ou colectiva identificada
métricas destinado a ser conhecido apenas pelo seu titular,
mediante o qual se apõe a assinatura digital no documento num certificado como a detentora de um dispositivo de
electrónico, ou se decifra um documento electrónico pre- criação de assinatura;
viamente cifrado com a correspondente chave pública; s) «Produto de assinatura electrónica» o suporte lógico,
f) «Chave pública» o elemento do par de chaves assi- dispositivo de equipamento ou seus componentes especí-
métricas destinado a ser divulgado, com o qual se verifica ficos, destinados a ser utilizados na prestação de serviços
a assinatura digital aposta no documento electrónico pelo de assinatura electrónica qualificada por uma entidade
titular do par de chaves assimétricas, ou se cifra um do- certificadora ou na criação e verificação de assinatura
cumento electrónico a transmitir ao titular do mesmo par electrónica qualificada;
de chaves; t) «Organismo de certificação» a entidade pública ou
g) «Assinatura electrónica qualificada» a assinatura privada competente para a avaliação e certificação da con-
digital ou outra modalidade de assinatura electrónica avan- formidade dos processos, sistemas e produtos de assinatura
çada que satisfaça exigências de segurança idênticas às da electrónica com os requisitos a que se refere a alínea c) do
assinatura digital baseadas num certificado qualificado e n.º 1 do artigo 12.º;
criadas através de um dispositivo seguro de criação de u) «Validação cronológica» a declaração de entidade
assinatura; certificadora que atesta a data e hora da criação, expedição
h) «Dados de criação de assinatura» o conjunto único ou recepção de um documento electrónico;
de dados, como chaves privadas, utilizado pelo titular para v) «Endereço electrónico» a identificação de um equi-
a criação de uma assinatura electrónica; pamento informático adequado para receber e arquivar
i) «Dispositivo de criação de assinatura» o suporte lógico documentos electrónicos.
ou dispositivo de equipamento utilizado para possibilitar o
tratamento dos dados de criação de assinatura; Artigo 3.º
j) «Dispositivo seguro de criação de assinatura» o dis-
positivo de criação de assinatura que assegure, através de Forma e força probatória
meios técnicos e processuais adequados, que: 1 — O documento electrónico satisfaz o requisito legal
i) Os dados necessários à criação de uma assinatura de forma escrita quando o seu conteúdo seja susceptível
utilizados na geração de uma assinatura só possam ocorrer de representação como declaração escrita.
uma única vez e que a confidencialidade desses dados se 2 — Quando lhe seja aposta uma assinatura electró-
encontre assegurada; nica qualificada certificada por uma entidade certificadora
ii) Os dados necessários à criação de uma assinatura credenciada, o documento electrónico com o conteúdo
utilizados na geração de uma assinatura não possam, com referido no número anterior tem a força probatória de
um grau razoável de segurança, ser deduzidos de outros documento particular assinado, nos termos do artigo 376.º
dados e que a assinatura esteja protegida contra falsifica- do Código Civil.
ções realizadas através das tecnologias disponíveis; 3 — Quando lhe seja aposta uma assinatura electrónica
iii) Os dados necessários à criação de uma assinatura qualificada certificada por uma entidade certificadora cre-
utilizados na geração de uma assinatura possam ser eficaz- denciada, o documento electrónico cujo conteúdo não seja
mente protegidos pelo titular contra a utilização ilegítima susceptível de representação como declaração escrita tem
por terceiros;
a força probatória prevista nos artigos 368.º do Código
iv) Os dados que careçam de assinatura não sejam mo-
dificados e possam ser apresentados ao titular antes do Civil e 167.º do Código de Processo Penal.
processo de assinatura; 4 — O disposto nos números anteriores não obsta à
utilização de outro meio de comprovação da autoria e
l) «Dados de verificação de assinatura» o conjunto de integridade de documentos electrónicos, incluindo outras
dados, como chaves públicas, utilizado para verificar uma modalidades de assinatura electrónica, desde que tal meio
assinatura electrónica; seja adoptado pelas partes ao abrigo de válida convenção
m) «Credenciação» o acto pelo qual é reconhecido a uma sobre prova ou seja aceite pela pessoa a quem for oposto
entidade que o solicite e que exerça a actividade de entidade o documento.
certificadora o preenchimento dos requisitos definidos no 5 — Sem prejuízo do disposto no número anterior, o
presente diploma para os efeitos nele previstos; valor probatório dos documentos electrónicos aos quais
n) «Autoridade credenciadora» a entidade competente não seja aposta uma assinatura electrónica qualificada cer-
para a credenciação e fiscalização das entidades certifi- tificada por entidade certificadora credenciada é apreciado
cadoras; nos termos gerais de direito.
Artigo 4.º autógrafa dos documentos com forma escrita sobre suporte
Cópias de documentos
de papel e cria a presunção de que:
As cópias de documentos electrónicos, sobre idêntico a) A pessoa que apôs a assinatura electrónica qualificada
ou diferente tipo de suporte, são válidas e eficazes nos é o titular desta ou é representante, com poderes bastantes, da
termos gerais de direito e têm a força probatória atribuída pessoa colectiva titular da assinatura electrónica qualificada;
às cópias fotográficas pelo n.º 2 do artigo 387.º do Código b) A assinatura electrónica qualificada foi aposta com
Civil e pelo artigo 168.º do Código de Processo Penal, se a intenção de assinar o documento electrónico;
forem observados os requisitos aí previstos. c) O documento electrónico não sofreu alteração desde
que lhe foi aposta a assinatura electrónica qualificada.
Artigo 5.º
2 — A assinatura electrónica qualificada deve referir-se
Documentos electrónicos das entidades públicas
inequivocamente a uma só pessoa singular ou colectiva e
1 — As entidades públicas podem emitir documentos ao documento ao qual é aposta.
electrónicos com assinatura electrónica qualificada aposta em 3 — A aposição de assinatura electrónica qualificada
conformidade com as normas do presente decreto-lei e com substitui, para todos os efeitos legais, a aposição de selos, ca-
o disposto no Decreto-Lei n.º 116-A/2006, de 16 de Junho. rimbos, marcas ou outros sinais identificadores do seu titular.
2 — Nas operações relativas à criação, emissão, arquivo, 4 — A aposição de assinatura electrónica qualificada
reprodução, cópia e transmissão de documentos electróni- que conste de certificado que esteja revogado, caduco ou
cos que formalizem actos administrativos através de siste- suspenso na data da aposição ou não respeite as condições
mas informáticos, incluindo a sua transmissão por meios de dele constantes equivale à falta de assinatura.
telecomunicações, os dados relativos à entidade interessada
e à pessoa que tenha praticado cada acto administrativo Artigo 8.º
podem ser indicados de forma a torná-los facilmente iden-
Obtenção dos dados de assinatura e certificado
tificáveis e a comprovar a função ou cargo desempenhado
pela pessoa signatária de cada documento. Quem pretenda utilizar uma assinatura electrónica qua-
lificada deve, nos termos do n.º 1 do artigo 28.º, gerar ou
Artigo 6.º obter os dados de criação e verificação de assinatura, bem
Comunicação de documentos electrónicos como obter o respectivo certificado emitido por entidade
certificadora nos termos deste diploma.
1 — O documento electrónico comunicado por um meio
de telecomunicações considera-se enviado e recebido pelo
destinatário se for transmitido para o endereço electrónico CAPÍTULO III
definido por acordo das partes e neste for recebido.
2 — São oponíveis entre as partes e a terceiros a data Certificação
e a hora da criação, da expedição ou da recepção de um
documento electrónico que contenha uma validação cro- SECÇÃO I
nológica emitida por uma entidade certificadora.
3 — A comunicação do documento electrónico, ao qual Acesso à actividade de certificação
seja aposta assinatura electrónica qualificada, por meio de
telecomunicações que assegure a efectiva recepção equivale Artigo 9.º
à remessa por via postal registada e, se a recepção for com- Livre acesso à actividade de certificação
provada por mensagem de confirmação dirigida ao reme-
tente pelo destinatário que revista idêntica forma, equivale 1 — É livre o exercício da actividade de entidade cer-
à remessa por via postal registada com aviso de recepção. tificadora, sendo facultativa a solicitação da credenciação
4 — Os dados e documentos comunicados por meio de regulada nos artigos 11.º e seguintes.
telecomunicações consideram-se em poder do remetente 2 — Sem prejuízo do disposto no número anterior, as
até à recepção pelo destinatário. entidades certificadoras que emitam certificados qualifi-
5 — Os operadores que assegurem a comunicação de cados devem proceder ao seu registo junto da autoridade
documentos electrónicos por meio de telecomunicações não credenciadora, nos termos a fixar por portaria do membro
podem tomar conhecimento do seu conteúdo, nem duplicá- do Governo responsável pela autoridade credenciadora.
-los por qualquer meio ou ceder a terceiros qualquer informa- 3 — A credenciação e o registo estão sujeitos ao paga-
ção, ainda que resumida ou por extracto, sobre a existência mento de taxas em função dos custos associados às tarefas
ou sobre o conteúdo desses documentos, salvo quando se administrativas, técnicas, operacionais e de fiscalização
trate de informação que, pela sua natureza ou por indicação correspondentes, nos termos a fixar por despacho con-
expressa do seu remetente, se destine a ser tornada pública. junto do membro do Governo responsável pela autoridade
credenciadora e do Ministro das Finanças, que constituem
receita da autoridade credenciadora.
CAPÍTULO II
Assinaturas electrónicas qualificadas Artigo 10.º
Livre escolha da entidade certificadora
Artigo 7.º
1 — É livre a escolha da entidade certificadora.
Assinatura electrónica qualificada
2 — A escolha de entidade determinada não pode cons-
1 — A aposição de uma assinatura electrónica quali- tituir condição de oferta ou de celebração de qualquer
ficada a um documento electrónico equivale à assinatura negócio jurídico.
Artigo 11.º for inferior, e balanço e contas dos exercícios correspon-

Entidade competente para a credenciação
dentes;
j) Comprovação de contrato de seguro válido para co-
A credenciação de entidades certificadoras para efei- bertura adequada da responsabilidade civil emergente da
tos do presente diploma compete à autoridade creden- actividade de certificação.
ciadora.
2 — Se à data do pedido a pessoa colectiva não estiver
Artigo 12.º constituída, o pedido será instruído, em substituição do
Credenciação da entidade certificadora previsto na alínea a) do número anterior, com os seguintes
documentos:
1 — É concedida a credenciação a entidades certifica-
doras de assinaturas electrónicas qualificadas, mediante a) Acta da reunião em que foi deliberada a constituição;
pedido apresentado à autoridade credenciadora, que sa- b) Projecto de estatutos ou contrato de sociedade;
tisfaçam os seguintes requisitos: c) Declaração de compromisso, subscrita por todos
os fundadores, de que no acto de constituição, e como
a) Estejam dotadas de capital e meios financeiros ade- condição dela, estará integralmente realizado o substrato
quados; patrimonial exigido por lei.
b) Dêem garantias de absoluta integridade e independên-
cia no exercício da actividade de certificação e assinaturas 3 — As declarações previstas na alínea c) do n.º 1 po-
electrónicas qualificadas; derão ser entregues em momento posterior ao pedido, nos
c) Disponham de recursos técnicos e humanos que sa- termos e prazo que a autoridade credenciadora fixar.
tisfaçam os padrões de segurança e de eficácia que sejam 4 — Consideram-se como participações significativas,
previstos na regulamentação a que se refere o artigo 39.º; para os efeitos do presente diploma, as que igualem ou
d) Mantenham contrato de seguro válido para cobertura excedam 10 % do capital da sociedade anónima.
adequada da responsabilidade civil emergente da activi- 5 — O pedido de renovação de credenciação deve ser
dade de certificação. instruído com os seguintes documentos:
2 — A credenciação é válida pelo período de três anos, a) Programa geral da actividade prevista para os pró-
podendo ser objecto de renovação por períodos de igual ximos três anos;
duração. b) Descrição geral das actividades exercidas nos últimos
três anos e balanço e contas dos exercícios correspon-
Artigo 13.º dentes;
Pedido de credenciação
c) Declaração que todos os elementos referidos no n.º 1
deste artigo e nos n.os 2 e 3 do artigo 32.º não sofreram
1 — O pedido de credenciação de entidade certificadora alteração desde a sua apresentação à autoridade creden-
deve ser instruído com os seguintes documentos: ciadora.
a) Estatutos da pessoa colectiva e, tratando-se de so-
ciedade, contrato de sociedade ou, tratando-se de pessoa Artigo 14.º
singular, a respectiva identificação e domicílio; Requisitos patrimoniais
b) Tratando-se de sociedade, relação de todos os sócios,
com especificação das respectivas participações, bem como 1 — As entidades certificadoras privadas, que sejam
dos membros dos órgãos de administração e de fiscaliza- pessoas colectivas, devem estar dotadas de capital social
ção, e, tratando-se de sociedade anónima, relação de todos no valor mínimo de € 200 000 ou, não sendo sociedades,
os accionistas com participações significativas, directas do substrato patrimonial equivalente.
ou indirectas; 2 — O substrato patrimonial, e designadamente o ca-
c) Declarações subscritas por todas as pessoas singulares pital social mínimo de sociedade, encontrar-se-á sempre
e colectivas referidas no n.º 1 do artigo 15.º de que não integralmente realizado à data da credenciação, se a pessoa
se encontram em nenhuma das situações indiciadoras de colectiva estiver já constituída, ou será sempre integral-
inidoneidade referidas no respectivo n.º 2; mente realizado com a constituição da pessoa colectiva,
d) Prova do substrato patrimonial e dos meios financei- se esta ocorrer posteriormente.
ros disponíveis e, designadamente, tratando-se de socie- 3 — As entidades certificadoras que sejam pessoas sin-
dade, da realização integral do capital social; gulares devem ter e manter durante toda a sua actividade
e) Descrição da organização interna e plano de segu- um património, livre de quaisquer ónus, de valor equiva-
rança; lente ao previsto no n.º 1.
f) Demonstração dos meios técnicos e humanos exigi-
dos nos termos do diploma regulamentar a que se refere a Artigo 15.º
alínea c) do n.º 1 do artigo 12.º, incluindo certificados de Requisitos de idoneidade
conformidade dos produtos de assinatura electrónica emi-
tidos por organismo reconhecido de certificação acreditado 1 — A pessoa singular e, no caso de pessoa colectiva,
nos termos previstos no artigo 37.º; os membros dos órgãos de administração e fiscalização,
g) Designação do auditor de segurança; os empregados, comitidos e representantes das entidades
h) Programa geral da actividade prevista para os pri- certificadoras com acesso aos actos e instrumentos de certi-
meiros três anos; ficação, os sócios da sociedade e, tratando-se de sociedade
i) Descrição geral das actividades exercidas nos últimos anónima, os accionistas com participações significativas
três anos ou no tempo decorrido desde a constituição, se serão sempre pessoas de reconhecida idoneidade.
2 — Entre outras circunstâncias atendíveis, considera- 5 — A decisão de credenciação é comunicada à Co-

-se indiciador de falta de idoneidade o facto de a pessoa missão Europeia e aos outros Estados membros da União
ter sido: Europeia.
a) Condenada, no País ou no estrangeiro, por crime de
furto, roubo, burla, burla informática e nas comunicações, Artigo 18.º
extorsão, abuso de confiança, infidelidade, falsificação, fal- Recusa de credenciação
sas declarações, insolvência dolosa, insolvência negligente,
favorecimento de credores, emissão de cheques sem provi- 1 — A credenciação é recusada sempre que:
são, abuso de cartão de garantia ou de crédito, apropriação a) O pedido não estiver instruído com todas as infor-
ilegítima de bens do sector público ou cooperativo, admi- mações e documentos necessários;
nistração danosa em unidade económica do sector público b) A instrução do pedido enfermar de inexactidões ou
ou cooperativo, usura, suborno, corrupção, recepção não falsidades;
autorizada de depósitos ou outros fundos reembolsáveis, c) A autoridade credenciadora não considerar demons-
prática ilícita de actos ou operações inerentes à actividade trado algum dos requisitos enumerados nos artigos 12.º
seguradora ou dos fundos de pensões, branqueamento de e seguintes.
capitais, abuso de informação, manipulação do mercado
de valores mobiliários ou crime previsto no Código das
2 — Se o pedido estiver deficientemente instruído, a
Sociedades Comerciais;
b) Declarada, por sentença nacional ou estrangeira, fa- autoridade credenciadora, antes de recusar a credenciação,
lida ou insolvente ou julgada responsável por falência ou notificará o requerente, dando-lhe prazo razoável para
insolvência de empresa por ela dominada ou de cujos ór- suprir a deficiência.
gãos de administração ou fiscalização tenha sido membro;
c) Sujeita a sanções, no País ou no estrangeiro, pela Artigo 19.º
prática de infracções às normas legais ou regulamentares Caducidade da credenciação
que regem as actividades de produção, autenticação, registo
e conservação de documentos, e designadamente as do 1 — A credenciação caduca nos seguintes casos:
notariado, dos registos públicos, do funcionalismo judicial, a) Quando a actividade de certificação não seja iniciada
das bibliotecas públicas, e da certificação de assinaturas no prazo de 12 meses após a recepção da notificação da
electrónicas qualificadas. credenciação;
b) Quando, tratando-se de pessoa colectiva, esta seja
3 — A falta dos requisitos de idoneidade previstos no dissolvida, sem prejuízo dos actos necessários à respectiva
presente artigo constitui fundamento de recusa e de revo- liquidação;
gação da credenciação, nos termos da alínea c) do n.º 1 do c) Quando, tratando-se de pessoa singular, esta faleça
artigo 18.º e da alínea f) do n.º 1 do artigo 20.º
ou seja declarada interdita ou inabilitada;
d) Quando, findo o prazo de validade, a credenciação
Artigo 16.º
não tenha sido objecto de renovação.
Seguro obrigatório de responsabilidade civil
O Ministro das Finanças definirá, por portaria, as carac- 2 — A caducidade da credenciação é inscrita no registo
terísticas do contrato de seguro de responsabilidade civil a que se refere o n.º 2 do artigo 9.º e publicada na 2.ª série
a que se refere a alínea d) do artigo 12.º do Diário da República.
3 — A caducidade da credenciação é comunicada à Co-
Artigo 17.º missão Europeia e aos outros Estados membros da União
Europeia.
Decisão
1 — A autoridade credenciadora poderá solicitar dos Artigo 20.º
requerentes informações complementares e proceder, por Revogação da credenciação
si ou por quem para o efeito designar, às averiguações,
inquirições e inspecções que entenda necessárias para a 1 — A credenciação é revogada, sem prejuízo de outras
apreciação do pedido. sanções aplicáveis nos termos da lei, quando se verifique
2 — A decisão sobre o pedido de credenciação ou sua alguma das seguintes situações:
renovação deve ser notificada aos interessados no prazo
de três meses a contar da recepção do pedido ou, se for o a) Se tiver sido obtida por meio de falsas declarações
caso, a contar da recepção das informações complementa- ou outros expedientes ilícitos;
res solicitadas ou da conclusão das diligências que entenda b) Se deixar de se verificar algum dos requisitos enu-
necessárias, não podendo no entanto exceder o prazo de merados no artigo 12.º;
seis meses sobre a data da recepção daquele. c) Se a entidade cessar a actividade de certificação ou
3 — A autoridade credenciadora poderá incluir na cre- a reduzir para nível insignificante por período superior a
denciação condições adicionais desde que necessárias 12 meses;
para assegurar o cumprimento das disposições legais e d) Se ocorrerem irregularidades graves na administra-
regulamentares aplicáveis ao exercício da actividade pela ção, organização ou fiscalização interna da entidade;
entidade certificadora. e) Se no exercício da actividade de certificação ou de
4 — A credenciação é inscrita no registo a que se refere outra actividade social forem praticados actos ilícitos que
o n.º 2 do artigo 9.º e publicada na 2.ª série do Diário da lesem ou ponham em perigo a confiança do público na
República. certificação;
f) Se supervenientemente se verificar alguma das cir- 4 — O registo é recusado em caso de inidoneidade,

cunstâncias de inidoneidade referidas no artigo 15.º em nos termos do artigo 15.º, e a recusa é comunicada aos
relação a qualquer das pessoas a que alude o seu n.º 1; interessados e à entidade certificadora, a qual deve tomar
g) Se os certificados do organismo de certificação reas medidas adequadas para que aqueles cessem imedia-
feridos na alínea f) do n.º 1 do artigo 13.º tiverem sido tamente funções ou deixem de estar para com a pessoa
revogados. colectiva na relação prevista no mesmo artigo, seguindo-se
no aplicável o disposto no artigo 21.º
2 — A revogação da credenciação compete à autoridade 5 — Sem prejuízo do que resulte de outras disposições
credenciadora, em decisão fundamentada, que será notifi- legais aplicáveis, a falta de registo não determina por si
cada à entidade no prazo de oito dias úteis. só invalidade dos actos jurídicos praticados pela pessoa
3 — A decisão de revogação é inscrita no registo a que em causa no exercício das suas funções.
se refere o n.º 2 do artigo 9.º e publicada na 2.ª série do
Diário da República.
SECÇÃO II
4 — A decisão de revogação é comunicada à Comis-
são Europeia e aos outros Estados membros da União Exercício da actividade
Europeia.
Artigo 24.º
Artigo 21.º
Deveres da entidade certificadora que emite
Anomalias nos órgãos de administração e fiscalização certificados qualificados
1 — Se por qualquer motivo deixarem de estar preen- Compete à entidade certificadora que emite certificados
chidos os requisitos legais e estatutários do normal fun- qualificados:
cionamento dos órgãos de administração ou fiscalização, a a) Estar dotada dos requisitos patrimoniais estabelecidos
autoridade credenciadora fixará prazo para ser regularizada
no artigo 14.º;
a situação.
b) Oferecer garantias de absoluta integridade e indepen-
2 — Não sendo regularizada a situação no prazo fixado,
dência no exercício da actividade de certificação;
será revogada a credenciação nos termos do artigo anterior.
c) Demonstrar a fiabilidade necessária para o exercício
da actividade de certificação;
Artigo 22.º
d) Manter um contrato de seguro válido para a cobertura
Comunicação de alterações adequada da responsabilidade civil emergente da activi-
Devem ser comunicadas à autoridade credenciadora, no dade de certificação, nos termos previstos no artigo 16.º;
prazo de 30 dias, as alterações das entidades certificadoras e) Dispor de recursos técnicos e humanos que satisfaçam
que emitem certificados qualificados relativas a: os padrões de segurança e eficácia, nos termos do diploma
regulamentar;
a) Firma ou denominação; f) Utilizar sistemas e produtos fiáveis protegidos contra
b) Objecto; qualquer modificação e que garantam a segurança técnica
c) Local da sede, salvo se a mudança ocorrer dentro do dos processos para os quais estejam previstos;
mesmo concelho ou para concelho limítrofe; g) Adoptar medidas adequadas para impedir a falsifi-
d) Substrato patrimonial ou património, desde que se cação ou alteração dos dados constantes dos certificados
trate de uma alteração significativa; e, nos casos em que a entidade certificadora gere dados
e) Estrutura de administração e de fiscalização; de criação de assinaturas, garantir a sua confidencialidade
f) Limitação dos poderes dos órgãos de administração durante o processo de criação;
e fiscalização; h) Utilizar sistemas fiáveis de conservação dos certifi-
g) Cisão, fusão e dissolução. cados, de forma que:
Artigo 23.º i) Os certificados só possam ser consultados pelo pú-
blico nos casos em que tenha sido obtido o consentimento
Registo de alterações do seu titular;
1 — O registo das pessoas referidas no n.º 1 do ar- ii) Apenas as pessoas autorizadas possam inserir dados
tigo 15.º deve ser solicitado à autoridade credenciadora no e alterações aos certificados;
prazo de 15 dias após assumirem qualquer das qualidades iii) A autenticidade das informações possa ser verifi-
nele referidas, mediante pedido da entidade certificadora cada; e
ou dos interessados, juntamente com as provas de que se iv) Quaisquer alterações de carácter técnico susceptíveis
encontram preenchidos os requisitos definidos no mesmo de afectar os requisitos de segurança sejam imediatamente
artigo, e sob pena de a credenciação ser revogada. detectáveis;
2 — Poderão a entidade certificadora ou os interessa-
dos solicitar o registo provisório, antes da assunção por i) Verificar rigorosamente a identidade dos requerentes
estes de qualquer das qualidades referidas no n.º 1 do ar- titulares dos certificados e, tratando-se de representantes de
tigo 15.º, devendo a conversão em definitivo ser requerida pessoas colectivas, os respectivos poderes de representa-
no prazo de 30 dias a contar da designação, sob pena de ção, bem como, quando aplicável, as qualidades específicas
caducidade. a que se refere a alínea i) do n.º 1 do artigo 29.º;
3 — Em caso de recondução, será esta averbada no j) Conservar os elementos que comprovem a verdadeira
registo, a pedido da entidade certificadora ou dos inte- identidade dos requerentes titulares de certificados com
ressados. pseudónimo;
l) Informar os requerentes, por forma escrita, de modo Artigo 27.º

completo e claro, sobre o processo de emissão de certi- Cessação da actividade
ficados qualificados e os termos e condições exactos de
utilização do certificado qualificado, incluindo eventuais 1 — No caso de pretender cessar voluntariamente a sua
restrições à sua utilização; actividade, a entidade certificadora que emite certificados
m) Cumprir as regras de segurança para tratamento de qualificados deve comunicar essa intenção à autoridade
dados pessoais estabelecidas na legislação respectiva; credenciadora e às pessoas a quem tenha emitido certifica-
n) Não armazenar ou copiar dados de criação de assi- dos que permaneçam em vigor, com a antecipação mínima
naturas do titular a quem a entidade certificadora tenha de três meses, indicando também qual a entidade certifica-
oferecido serviços de gestão de chaves; dora à qual é transmitida a sua documentação ou a revo-
o) Assegurar o funcionamento de um serviço que: gação dos certificados no termo daquele prazo, devendo
neste último caso, quando seja credenciada, colocar a sua
i) Permita a consulta, de forma célere e segura, do re- documentação à guarda da autoridade credenciadora.
gisto informático dos certificados emitidos, revogados, 2 — A entidade certificadora que emite certificados
suspensos ou caducados; e qualificados que se encontre em risco de decretação de
ii) Garanta, de forma imediata e segura, a revogação, falência, de processo de recuperação de empresa ou de
suspensão ou caducidade dos certificados;
cessação da actividade por qualquer outro motivo alheio
à sua vontade deve informar imediatamente a autoridade
p) Proceder à publicação imediata da revogação ou credenciadora.
suspensão dos certificados, nos casos previstos no presente 3 — No caso previsto no número anterior, se a entidade
diploma; certificadora vier a cessar a sua actividade, a autoridade
q) Assegurar que a data e a hora da emissão, suspensão credenciadora promoverá a transmissão da documentação
e revogação dos certificados possam ser determinadas daquela para outra entidade certificadora ou, se tal trans-
através de validação cronológica; missão for impossível, a revogação dos certificados emiti-
r) Conservar os certificados que emitir, por um período dos e a conservação dos elementos de tais certificados pelo
não inferior a 20 anos. prazo em que deveria fazê-lo a entidade certificadora.
4 — A cessação da actividade de entidade certificadora
Artigo 25.º que emite certificados qualificados é inscrita no registo a
Protecção de dados que se refere o n.º 2 do artigo 9.º e publicada na 2.ª série
do Diário da República.
1 — As entidades certificadoras só podem coligir
5 — A cessação da actividade de entidade certificadora
dados pessoais necessários ao exercício das suas activi-
é comunicada à Comissão Europeia e aos outros Estados
dades e obtê-los directamente das pessoas interessadas
membros da União Europeia.
na titularidade dos dados de criação e verificação de
assinatura e respectivos certificados, ou de terceiros
junto dos quais aquelas pessoas autorizem a sua co- SECÇÃO III
lecta. Certificados
2 — Os dados pessoais coligidos pela entidade cer-
tificadora não poderão ser utilizados para outra finali-
Artigo 28.º
dade que não seja a de certificação, salvo se outro uso
for consentido expressamente por lei ou pela pessoa Emissão dos certificados qualificados
interessada. 1 — A entidade certificadora emite, a pedido de uma
3 — As entidades certificadoras e a autoridade cre- pessoa singular ou colectiva interessada e a favor desta, os
denciadora respeitarão as normas legais vigentes sobre dados de criação e de verificação de assinatura ou, se tal
a protecção, tratamento e circulação dos dados pessoais for solicitado, coloca à disposição os meios técnicos neces-
e sobre a protecção da privacidade no sector das teleco- sários para que esta os crie, devendo sempre verificar, por
municações. meio legalmente idóneo e seguro, a identidade e, quando
4 — As entidades certificadoras comunicarão à auto- existam, os poderes de representação da requerente.
ridade judiciária, sempre que esta o ordenar nos termos 2 — A entidade certificadora emite, a pedido do titular,
legalmente previstos, os dados relativos à identidade dos uma ou mais vias do certificado e do certificado comple-
titulares de certificados que sejam emitidos com pseudó- mentar.
nimo, seguindo-se, no aplicável, o regime do artigo 182.º 3 — A entidade certificadora deve tomar medidas ade-
do Código de Processo Penal. quadas para impedir a falsificação ou alteração dos dados
constantes dos certificados e assegurar o cumprimento das
Artigo 26.º normas legais e regulamentares aplicáveis, recorrendo a
Responsabilidade civil pessoal devidamente habilitado.
4 — A entidade certificadora fornece aos titulares dos
1 — A entidade certificadora é civilmente responsável
certificados as informações necessárias para a utilização
pelos danos sofridos pelos titulares dos certificados e por
correcta e segura das assinaturas, nomeadamente as res-
terceiros, em consequência do incumprimento dos deveres
peitantes:
que lhe incumbem por força do presente diploma e da
sua regulamentação, excepto se provar que não actuou de a) Às obrigações do titular do certificado e da entidade
forma dolosa ou negligente. certificadora;
2 — São nulas as convenções de exoneração e limitação b) Ao procedimento de aposição e verificação de as-
da responsabilidade prevista no n.º 1. sinatura;
c) À conveniência de os documentos aos quais foi aposta conformes com a realidade ou que a confidencialidade dos
uma assinatura serem novamente assinados quando ocor- dados de criação de assinatura não está assegurada.
rerem circunstâncias técnicas que o justifiquem;
d) À força probatória dos documentos aos quais seja 2 — A suspensão com um dos fundamentos previstos
aposta uma assinatura electrónica. na alínea b) do número anterior será sempre motivada e
comunicada prontamente ao titular, bem como imedia-
5 — A entidade certificadora organizará e manterá per- tamente inscrita no registo do certificado, podendo ser
manentemente actualizado um registo informático dos cer- levantada quando se verifique que tal fundamento não
tificados emitidos, suspensos ou revogados, o qual estará corresponde à realidade.
acessível a qualquer pessoa para consulta, inclusivamente 3 — A entidade certificadora revogará o certificado:
por meio de telecomunicações, e será protegido contra
alterações não autorizadas. a) A pedido do titular, devidamente identificado para
o efeito;
Artigo 29.º b) Quando, após suspensão do certificado, se confirme
que o certificado foi emitido com base em informações
Conteúdo dos certificados qualificados erróneas ou falsas, que as informações nele contidas dei-
1 — O certificado qualificado deve conter, pelo menos, xaram de ser conformes com a realidade, ou que a confi-
as seguintes informações: dencialidade dos dados de criação de assinatura não está
assegurada;
a) Nome ou denominação do titular da assinatura e ou- c) Quando a entidade certificadora cesse as suas acti-
tros elementos necessários para uma identificação inequí- vidades sem ter transmitido a sua documentação a outra
voca e, quando existam poderes de representação, o nome entidade certificadora;
do seu representante ou representantes habilitados, ou um d) Quando a autoridade credenciadora ordene a revoga-
pseudónimo do titular, claramente identificado como tal; ção do certificado por motivo legalmente fundado;
b) Nome e assinatura electrónica avançada da entidade e) Quando tomar conhecimento do falecimento, inter-
certificadora, bem como a indicação do país onde se en- dição ou inabilitação da pessoa singular ou da extinção
contra estabelecida; da pessoa colectiva.
c) Dados de verificação de assinatura correspondentes
aos dados de criação de assinatura detidos pelo titular; 4 — A decisão de revogação do certificado com um dos
d) Número de série do certificado; fundamentos previstos nas alíneas b), c) e d) do n.º 3 será
e) Início e termo de validade do certificado; sempre fundamentada e comunicada ao titular, bem como
f) Identificadores de algoritmos utilizados na verificação imediatamente inscrita.
de assinaturas do titular e da entidade certificadora; 5 — A suspensão e a revogação do certificado são opo-
g) Indicação de o uso do certificado ser ou não restrito níveis a terceiros a partir da inscrição no registo respectivo,
a determinados tipos de utilização, bem como eventuais salvo se for provado que o seu motivo já era do conheci-
limites do valor das transacções para as quais o certificado mento do terceiro.
é válido; 6 — A entidade certificadora conservará as informações
h) Limitações convencionais da responsabilidade da referentes aos certificados durante um prazo não inferior
entidade certificadora, sem prejuízo do disposto no n.º 2 a 20 anos a contar da suspensão ou revogação de cada
do artigo 26.º; certificado e facultá-las-á a qualquer interessado.
i) Eventual referência a uma qualidade específica do 7 — A revogação ou suspensão do certificado indicará
titular da assinatura, em função da utilização a que o cer- a data e a hora a partir das quais produzem efeitos, não
tificado estiver destinado; podendo essa data e hora ser anterior àquela em que essa
j) Indicação de que é emitido como certificado quali- informação for divulgada publicamente.
ficado; 8 — A partir da suspensão ou revogação de um certi-
l) Indicação sempre que a chave privada do titular es- ficado ou do termo do seu prazo de validade é proibida
teja armazenada num dispositivo seguro de criação de a emissão de certificado referente aos mesmos dados de
assinatura. criação de assinatura pela mesma ou outra entidade cer-
tificadora.
2 — A pedido do titular podem ser incluídas no certifi-
cado ou em certificado complementar informações rela- Artigo 31.º
tivas a poderes de representação conferidos ao titular por
terceiro, à sua qualificação profissional ou a outros atribu- Obrigações do titular
tos, mediante fornecimento da respectiva prova, ou com a 1 — O titular do certificado deve tomar todas as medi-
menção de se tratar de informações não confirmadas. das de organização e técnica que sejam necessárias para
evitar danos a terceiros e preservar a confidencialidade da
Artigo 30.º informação transmitida.
Suspensão e revogação dos certificados qualificados 2 — Em caso de dúvida quanto à perda de confidenciali-
dade dos dados de criação de assinatura, o titular deve pedir
1 — A entidade certificadora suspende o certificado: a suspensão do certificado e, se a perda for confirmada,
a) A pedido do titular, devidamente identificado para a sua revogação.
o efeito; 3 — A partir da suspensão ou revogação de um certi-
b) Quando existam fundadas razões para crer que o ficado ou do termo do seu prazo de validade é proibida
certificado foi emitido com base em informações erróneas ao titular a utilização dos respectivos dados de criação de
ou falsas, que as informações nele contidas deixaram de ser assinatura para gerar uma assinatura electrónica.
4 — Sempre que se verifiquem motivos que justifiquem e serviços públicos toda a colaboração ou auxílio que
a revogação ou suspensão do certificado, deve o respectivo julgue necessários para a credenciação e fiscalização da
titular efectuar, com a necessária celeridade e diligência, o actividade de certificação.
correspondente pedido de suspensão ou revogação à entidade
certificadora. Artigo 36.º-A
CAPÍTULO IV Contra-ordenações
Fiscalização e regime sancionatório 1 — Constitui contra-ordenação:

a) A emissão por entidades certificadoras de certifica-
Artigo 32.º dos qualificados sem o prévio registo junto da autoridade
Deveres de informação das entidades certificadoras credenciadora;
b) A violação pela entidade certificadora dos deveres
1 — As entidades certificadoras fornecem à autoridade previstos nas alíneas d), f), g), h), i), j), n), q) e r) do ar-
credenciadora, de modo pronto e exaustivo, todas as infor- tigo 24.º;
mações que ela lhes solicite para fins de fiscalização da sua c) A falta de fornecimento pela entidade certificadora
actividade e facultam-lhe para os mesmos fins a inspecção dos aos utilizadores das informações previstas na alínea l) do
seus estabelecimentos e o exame local de documentos, objec- artigo 24.º e no n.º 4 do artigo 28.º;
tos, equipamentos de hardware e software e procedimentos d) A prestação de falsas informações quanto à força
operacionais, no decorrer dos quais a autoridade credencia- probatória dos certificados;
dora poderá fazer as cópias e registos que sejam necessários. e) A violação pela entidade certificadora de qualquer
2 — As entidades certificadoras credenciadas devem dos deveres previstos no artigo 25.º;
comunicar sempre à autoridade credenciadora, no mais f) A violação pela entidade certificadora dos deveres de
breve prazo possível, todas as alterações relevantes que comunicação previstos nos n.os 1 e 2 do artigo 27.º;
sobrevenham nos requisitos e elementos referidos nos g) A violação dos deveres previstos no n.º 3 do artigo 28.º;
artigos 13.º e 15.º h) A falta de organização e manutenção do registo a
3 — Até ao último dia útil de cada semestre, as entidades que se refere o n.º 5 do artigo 28.º, bem com a respectiva
certificadoras credenciadas devem enviar à autoridade cre- actualização;
denciadora uma versão actualizada das relações referidas i) A falta de uma ou mais das informações previstas no
na alínea b) do n.º 1 do artigo 13.º n.º 1 do artigo 29.º;
j) A não suspensão de um certificado pela entidade cer-
Artigo 33.º tificadora sempre que se verifique algumas das situações
Auditor de segurança previstas no n.º 1 do artigo 30.º;
l) A não revogação de um certificado pela entidade cer-
1 — As entidades certificadoras que emitam certifi- tificadora sempre que se verifique algumas das situações
cados qualificados devem ser auditadas por um auditor previstas no n.º 3 do artigo 30.º;
de segurança que cumpra os requisitos especificados na m) A violação do dever de conservação previsto no
regulamentação a que se refere o artigo 39.º n.º 6 do artigo 30.º;
2 — O auditor de segurança elabora um relatório anual n) O condicionamento da comercialização ou prestação
de segurança que envia à autoridade credenciadora, até 31 de um determinado bem ou serviço, nele se incluindo a
de Março de cada ano civil. venda exclusivamente em conjunto, à escolha de determi-
nada entidade certificadora;
Artigo 34.º o) A prestação de declarações e informações falsas ou
Revisores oficiais de contas e auditores externos incompletas no âmbito do processo de credenciação pre-
visto nos artigos 12.º e seguintes;
Os revisores oficiais de contas ao serviço das entidades p) A violação dos deveres previstos nos n.os 7 e 8 do
certificadoras e os auditores externos que, por imposição artigo 30.º;
legal, prestem às mesmas entidades serviços de auditoria q) A violação dos deveres de informação previstos no
devem comunicar à autoridade credenciadora as infracções n.º 1 do artigo 32.º
graves às normas legais ou regulamentares relevantes para
a fiscalização e que detectem no exercício das suas funções. 2 — Constitui ainda contra-ordenação:
Artigo 35.º a) O incumprimento dos prazos previstos no n.º 3 do
artigo 13.º;
Recursos
b) A falta de comunicação pelas entidades certificadoras,
Nos recursos interpostos das decisões tomadas pela dentro do prazo, das alterações previstas no artigo 22.º;
autoridade credenciadora no exercício dos seus poderes c) A violação pela entidade certificadora dos deveres
de credenciação e fiscalização, presume-se, até prova em previstos nas alíneas o) e p) do artigo 24.º;
contrário, que a suspensão da eficácia determina grave d) A falta de comunicação ao respectivo titular da deci-
lesão do interesse público. são de suspensão e revogação de certificados qualificados
prevista, respectivamente, nos n.os 2 e 4 do artigo 30.º;
Artigo 36.º e) A violação dos deveres de informação previstos nos
n.os 2 e 3 do artigo 32.º;
Colaboração das autoridades
f) O não cumprimento do disposto no artigo 33.º;
A autoridade credenciadora poderá solicitar às autorida- g) A violação do dever de comunicação previsto no
des policiais e judiciárias e a quaisquer outras autoridades artigo 34.º
Artigo 36.º-B membro da União Europeia são equiparadas às assinaturas

Sanções
electrónicas qualificadas certificadas por entidade certifi-
cadora credenciada nos termos deste diploma.
1 — Às contra-ordenações previstas no n.º 1 do arti- 2 — Os certificados qualificados emitidos por entidade
go anterior são aplicáveis coimas entre € 1500 e € 3740,98, certificadora sujeita a sistema de fiscalização de outro
no caso de se tratar de pessoas singulares, e entre € 15 000 Estado membro da União Europeia são equiparados aos
e € 44 891,81, no caso de se tratar de pessoas colectivas. certificados qualificados emitidos por entidade certifica-
2 — Às contra-ordenações previstas no n.º 2 do arti- dora estabelecida em Portugal.
go anterior são aplicáveis coimas entre € 500 e € 2500, 3 — Os certificados qualificados emitidos por entida-
no caso de se tratar de pessoas singulares, e entre € 6000 des certificadoras estabelecidas em Estados terceiros são
e € 30 000, no caso de se tratar de pessoas colectivas. equiparados aos certificados qualificados emitidos por
3 — A negligência é punível, sendo os limites mínimos entidade certificadora estabelecida em Portugal desde que
e máximos das coimas aplicáveis reduzidos a metade. se verifique alguma das seguintes circunstâncias:
4 — Conjuntamente com as coimas previstas nos núme-
ros anteriores e sem prejuízo de outras sanções previstas a) A entidade certificadora preencha os requisitos esta-
no presente decreto-lei, pode ainda ser aplicada, em função belecidos pela Directiva n.º 1999/93/CE, do Parlamento
da gravidade da infracção e da culpa do agente, a sanção Europeu e do Conselho, de 13 de Dezembro, e tenha sido
acessória de interdição do exercício da actividade de enti- credenciada num Estado membro da União Europeia;
dade certificadora que emite certificados qualificados até b) O certificado esteja garantido por uma entidade
ao período máximo de dois anos. certificadora estabelecida na União Europeia que cum-
5 — Sempre que seja cometida alguma das contra- pra os requisitos estabelecidos na directiva referida na
-ordenações a que se refere o n.º 1 do artigo anterior, deva alínea anterior;
dela dar-se publicidade no sítio na Internet da autoridade c) O certificado ou a entidade certificadora seja reco-
credenciadora, bem como no registo a que se refere o n.º 2 nhecida com base num acordo internacional que vincule
do artigo 9.º o Estado Português.
Artigo 36.º-C
4 — A autoridade credenciadora divulgará, sempre que
Processo contra-ordenacional possível e pelos meios de publicidade que considerar ade-
1 — Compete à autoridade credenciadora proceder à quados, e facultará aos interessados, a pedido, as informa-
instrução dos processos de contra-ordenação e sanção ções de que dispuser acerca das entidades certificadoras
acessória, sendo o seu director-geral competente para a credenciadas em Estados estrangeiros.
aplicação das coimas. 5 — É igualmente aplicável às entidades referidas nos
2 — O produto resultante da aplicação das coimas re- n.os 1, 2 e 3 que exerçam actividade em Portugal a obrigação
verte em 60 % para o Estado e em 40 % para a autoridade de registo a que se refere o n.º 2 do artigo 9.º, por forma a
credenciadora. garantir a demonstração de que estas se encontram plena-
3 — Em tudo o que não estiver previsto no presente mente equiparadas às entidades certificadoras credenciadas
capítulo, é aplicável subsidiariamente o regime geral do nos termos do presente decreto-lei.
ilícito de mera ordenação social. 6 — A obrigação de registo referida no número anterior
é extensível às entidades nacionais que prestem serviços de
certificação electrónica com recurso a certificados quali-
CAPÍTULO V ficados emitidos pelas entidades referidas nos n.os 1, 2 e 3.
Disposições finais Artigo 39.º
Artigo 37.º Normas regulamentares
Organismos de certificação 1 — A regulamentação do presente diploma, nomea-

damente no que se refere às normas de carácter técnico e
A conformidade dos produtos de assinatura electrónica de segurança, constará de decreto regulamentar, a adoptar
com os requisitos técnicos a que se refere a alínea c) do no prazo de 150 dias.
n.º 1 do artigo 12.º é verificada e certificada por: 2 — Os serviços e organismos da Administração Pública
a) Organismo de certificação acreditado no âmbito do poderão emitir normas regulamentares relativas aos requi-
Sistema Português de Qualidade; sitos a que devem obedecer os documentos que recebam
b) Organismo de certificação acreditado no âmbito da EA por via electrónica.
(European Co-Operation for Accreditation), sendo o respec-
tivo reconhecimento comprovado pela entidade competente Artigo 40.º
do Sistema Português de Qualidade para a acreditação; Designação da autoridade credenciadora
c) Organismo de certificação designado por outros Es-
tados membros e notificado à Comissão Europeia nos A autoridade credenciadora competente para o registo,
termos da alínea b) do n.º 1 do artigo 11.º da Directiva credenciação e fiscalização das entidades certificadoras que
n.º 1999/93/CE, do Parlamento Europeu e do Conselho, emitam certificados qualificados é a Autoridade Nacional
de 13 de Dezembro. de Segurança.
Artigo 38.º Artigo 40.º-A
Certificados de outros Estado Credenciação de entidades certificadoras públicas
1 — As assinaturas electrónicas qualificadas certificadas 1 — As disposições constantes dos capítulos III e IV só
por entidade certificadora credenciada em outro Estado são aplicáveis à actividade das entidades certificadoras
públicas na estrita medida da sua adequação à natureza e b) A Entidade de Certificação Electrónica do Estado;
às atribuições de tais entidades. c) As entidades certificadoras do Estado.
2 — Compete à autoridade credenciadora estabelecer
os critérios de adequação da aplicação do disposto no nú- 2 — O funcionamento do SCEE obedece às regras es-
mero anterior, para efeitos da emissão de certificados de tabelecidas no presente decreto-lei.
credenciação a entidades certificadoras públicas a quem
tal atribuição esteja legalmente cometida.
3 — Os certificados de credenciação podem ser emiti- CAPÍTULO II
dos, a título provisório, por períodos anuais renováveis até
Conselho Gestor do SCEE
um máximo de três anos, sempre que a autoridade creden-
ciadora considere necessário determinar procedimentos de
melhor cumprimento dos requisitos técnicos aplicáveis. Artigo 3.º
Composição e funcionamento
Artigo 41.º
1 — O Conselho Gestor do SCEE é o órgão responsável
Entrada em vigor pela gestão global e administração do SCEE.
O presente diploma entra em vigor no dia imediato ao 2 — O Conselho Gestor do SCEE é presidido pelo
da sua publicação. Ministro da Presidência, com faculdade de delegação, e
composto por representantes de cada uma das seguintes
ANEXO II entidades, designados pelos competentes membros do
Governo:
(a que se refere o n.º 2 do artigo 5.º)
a) Agência para a Sociedade do Conhecimento, I. P.
Republicação do Decreto-Lei n.º 116-A/2006,
de 16 de Junho (UMIC);
b) Centro de Gestão da Rede Informática do Governo
(CEGER);
CAPÍTULO I c) Fundação para a Computação Científica Nacional
Disposições gerais (FCCN);
d) Gabinete Nacional de Segurança (GNS);
Artigo 1.º e) ICP — Autoridade Nacional de Comunicações (ICP-
-ANACOM);
Objecto e âmbito f) Instituto de Informática (II);
1 — É criado o Sistema de Certificação Electrónica g) Instituto de Telecomunicações (IT);
do Estado — Infra-Estrutura de Chaves Públicas, adiante h) Instituto das Tecnologias de Informação na Justiça
designado abreviadamente por SCEE, destinado a esta- (ITIJ);
belecer uma estrutura de confiança electrónica, de forma i) Rede Nacional de Segurança Interna;
que as entidades certificadoras que lhe estão subordinadas j) Agência para a Modernização Administrativa, I. P.;
disponibilizem serviços que garantam: l) Um representante de cada entidade certificadora
a) A realização de transacções electrónicas seguras; pública integrada no SCEE que não esteja representada
b) A autenticação forte; por nenhuma das entidades referidas nas alíneas ante-
c) Assinaturas electrónicas de transacções ou informa- riores.
ções e documentos electrónicos, assegurando a sua autoria,
integridade, não repúdio e confidencialidade. 3 — Salvo indicação expressa em contrário no acto de
designação, o membro do Governo indicado nos termos do
2 — Só podem prestar serviços de certificação electró- número anterior pode delegar a presidência em qualquer
nica para as entidades públicas estaduais e para os serviços membro do Conselho Gestor do SCEE.
e organismos da Administração Pública ou outras entidades 4 — O Conselho Gestor do SCEE pode solicitar a
que exerçam funções de certificação no cumprimento de colaboração de outras entidades públicas, bem como de
fins públicos daquela as entidades certificadoras do Estado entidades privadas ou de individualidades, para a análise
reconhecidas no âmbito do SCEE. de assuntos de natureza técnica especializada, no âmbito
3 — O SCEE pode reconhecer fora do seu âmbito, para das competências que lhe são cometidas pelo presente
efeitos de filiação na entidade certificadora raiz do Estado, decreto-lei.
outras entidades certificadoras públicas ou privadas que 5 — O Conselho Gestor do SCEE reúne, de forma or-
exerçam funções de entidade certificadora nos termos do dinária, duas vezes por ano e, de forma extraordinária, por
disposto no Decreto-Lei n.º 290-D/99, de 2 de Agosto, e que convocação do seu presidente.
obedeçam aos requisitos previstos no presente decreto-lei. 6 — O apoio técnico, logístico e administrativo ao Con-
4 — As entidades certificadoras públicas e privadas selho Gestor do SCEE bem como os encargos inerentes ao
referidas no número anterior não integram o SCEE. seu funcionamento são da responsabilidade da entidade à
qual é cometida a função de operação da entidade certifi-
Artigo 2.º cadora raiz do Estado.
Estrutura e funcionamento do SCEE 7 — Os membros do Conselho Gestor do SCEE não
têm direito a auferir suplemento remuneratório pelo de-
1 — O SCEE compreende: sempenho das suas funções, sem prejuízo da possibilidade
a) O Conselho Gestor do Sistema de Certificação Elec- do percebimento de abonos ou ajudas de custo, nos termos
trónica do Estado; gerais.
Artigo 4.º obter o certificado de credenciação referido no n.º 2 do

Competências
artigo 8.º
4 — A Entidade de Certificação Electrónica do Estado
1 — Compete ao Conselho Gestor do SCEE: disponibiliza exclusivamente os seguintes serviços de cer-
a) Definir, de acordo com a lei e tendo em conta as tificação digital:
normas ou especificações internacionalmente reconheci- a) Processo de registo das entidades certificadoras;
das, a política de certificação e as práticas de certificação b) Geração de certificados, incluindo certificados qua-
a observar pelas entidades certificadoras que integram o lificados, e gestão do seu ciclo de vida;
SCEE; c) Disseminação dos certificados, das políticas e das
b) Garantir que as declarações de práticas de certificação práticas de certificação;
das várias entidades certificadoras do Estado, bem como d) Gestão de revogações de certificados;
da entidade certificadora raiz do Estado, estão em confor- e) Disponibilização do estado e da situação das revo-
midade com a política de certificação do SCEE; gações referidas na alínea anterior.
c) Propor os critérios para aprovação das entidades
certificadoras que pretendam integrar o SCEE; 5 — Compete, ainda, à Entidade de Certificação Elec-
d) Aferir a conformidade dos procedimentos seguidos trónica do Estado:
pelas entidades certificadoras do Estado com as políticas
e práticas aprovadas, sem prejuízo das competências le- a) Garantir o cumprimento e a implementação enquanto
galmente cometidas à autoridade credenciadora; entidade certificadora de todas as regras e todos os pro-
e) Pronunciar-se pela exclusão do SCEE das entida- cedimentos estabelecidos no documento de políticas de
des certificadoras em caso de não conformidade com as certificação e na declaração de práticas de certificação
políticas e práticas aprovadas, comunicando tal facto à do SCEE;
autoridade credenciadora; b) Implementar as políticas e práticas do Conselho Ges-
f) Pronunciar-se sobre as melhores práticas internacio- tor do SCEE;
nais no exercício das actividades de certificação electrónica c) Gerir toda a infra-estrutura e os recursos que compõem
e propor a sua aplicação; e garantem o funcionamento da entidade certificadora raiz
g) Representar institucionalmente o SCEE. do Estado, nomeadamente o pessoal, os equipamentos e
as instalações;
2 — Compete, ainda, ao Conselho Gestor do SCEE d) Gerir todas as actividades relacionadas com a gestão
a promoção das actividades necessárias para o estabele- do ciclo de vida dos certificados por si emitidos para as
cimento de acordos de interoperabilidade, com base em entidades certificadoras de nível imediatamente inferior
certificação cruzada, com outras infra-estruturas de chaves ao seu;
públicas, de natureza privada ou pública, nacionais ou e) Garantir que o acesso às suas instalações principal
internacionais, nomeadamente: e alternativa é efectuado apenas por pessoal devidamente
autorizado e credenciado;
a) Dar indicações à entidade certificadora raiz do Estado f) Gerir o recrutamento de pessoal tecnicamente habi-
para a atribuição e a revogação de certificados emitidos litado para a realização das tarefas de gestão e operação
com base em certificação cruzada; da entidade certificadora raiz do Estado;
b) Definir os termos e condições para o início, a suspen- g) Comunicar imediatamente qualquer incidente, nome-
são ou a finalização dos procedimentos de interoperabili-
adamente anomalias ou falhas de segurança, ao Conselho
dade com outras infra-estruturas de chaves públicas.
Gestor do SCEE.
CAPÍTULO III 6 — A Entidade de Certificação Electrónica do Estado

emite exclusivamente certificados para as entidades cer-
Entidade de Certificação Electrónica do Estado tificadoras que lhe estejam subordinadas, não podendo
emitir certificados destinados ao público.
Artigo 5.º 7 — Podem filiar-se na Entidade de Certificação Elec-
Definição e competências trónica do Estado as entidades certificadoras do Estado,
bem como as entidades certificadoras públicas ou privadas
1 — A Entidade de Certificação Electrónica do Estado, a que alude o n.º 3 do artigo 1.º que obedeçam aos requi-
enquanto entidade certificadora raiz do Estado, é o serviço sitos previstos no n.º 1 do artigo 7.º
certificador de topo da cadeia de certificação do SCEE que
executa as políticas de certificados e directrizes aprovadas Artigo 6.º
pelo Conselho Gestor do SCEE.
2 — Compete à Entidade de Certificação Electrónica Direcção e pessoal
do Estado admitir a integração das entidades certifica- 1 — A Entidade de Certificação Electrónica do Estado é
doras que obedeçam aos requisitos estabelecidos no pre- dirigida, por inerência, pelo director do Centro de Gestão
sente decreto-lei, bem como prestar os serviços de certi- da Rede Informática do Governo (CEGER).
ficação às entidades certificadoras, no nível hierárquico 2 — Desempenham funções na Entidade de Certifica-
imediatamente inferior ao seu na cadeia de certificação, ção Electrónica do Estado, sem prejuízo do exercício de
em conformidade com as normas aplicáveis às entidades funções no lugar de origem, os técnicos do CEGER com
certificadoras estabelecidas em Portugal na emissão de as seguintes categorias:
certificados digitais qualificados.
3 — Para os efeitos previstos no número anterior, com- a) Um consultor de sistemas, incumbido da articulação
pete à Entidade de Certificação Electrónica do Estado entre a Entidade de Certificação Electrónica do Estado e
o Conselho Gestor do SCEE e entre aquela e as entidades CAPÍTULO V

certificadoras do Estado;
b) Um administrador de sistemas, autorizado a instalar, Autoridade credenciadora nacional
configurar e manter o sistema, tendo acesso controlado a
configurações relacionadas com a segurança; Artigo 8.º
c) Um operador de sistemas, responsável por operar Autoridade credenciadora
diariamente os sistemas, autorizado a realizar cópias de 1 — A autoridade credenciadora competente para o
segurança e reposição de informação; registo, a credenciação e a fiscalização das entidades certi-
d) Um administrador de segurança, responsável pela ficadoras compreendidas no SCEE é a Autoridade Nacional
gestão e implementação das regras e práticas de segu- de Segurança.
rança; 2 — No âmbito da aplicação do artigo 1.º, a Autoridade
e) Um administrador de registo, responsável pela apro- Nacional de Segurança é competente para emitir o certifi-
vação da emissão, pela suspensão e pela revogação de cado de credenciação das entidades certificadoras e exercer
certificados; as competências de credenciação previstas no Decreto-Lei
f) Um auditor de sistemas, autorizado a monitorizar os n.º 290-D/99, de 2 de Agosto.
arquivos de actividade dos sistemas. 3 — A Autoridade Nacional de Segurança é assistida,
no exercício das suas competências, pelo conselho técnico
3 — Nos termos da legislação em vigor, as funções de de credenciação.
administrador de sistemas, de administrador de segurança Artigo 9.º
e de auditor de sistemas devem ser desempenhadas por
pessoas diferentes. Conselho técnico de credenciação
4 — Para os efeitos do disposto no n.º 2, o quadro 1 — O conselho técnico de credenciação é um órgão
de pessoal do CEGER pode ser alterado por portaria consultivo da autoridade credenciadora, competindo-lhe
conjunta dos membros do Governo responsáveis pelas pronunciar-se sobre todas as questões que a autoridade
áreas das finanças e da Administração Pública e pelo credenciadora lhe submeta.
CEGER. 2 — O conselho técnico de credenciação pode, ainda,
por sua iniciativa, emitir pareceres ou recomendações à
autoridade credenciadora.
CAPÍTULO IV
Entidades certificadoras do Estado Artigo 10.º
Composição
Artigo 7.º
O conselho técnico de credenciação é composto:
Requisitos
a) Pela Autoridade Nacional de Segurança, que pre-
1 — São entidades certificadoras do Estado as entidades side;
que exerçam funções de entidade certificadora nos termos b) Por duas personalidades designadas pelo Primeiro-
do disposto no Decreto-Lei n.º 290-D/99, de 2 de Agosto, -Ministro;
e respectiva regulamentação, e que: c) Por uma personalidade designada pelo Ministro da
a) Estejam admitidas como entidades certificadoras, Administração Interna;
nos termos do n.º 2 do artigo 5.º; d) Por uma personalidade designada pelo Ministro da
Justiça;
b) Actuem em conformidade com as declarações
e) Por uma personalidade designada pelo Ministro da
de práticas de certificação e com a política de cer-
Ciência, Tecnologia e Ensino Superior;
tificação e práticas aprovadas pelo Conselho Gestor
f) Por um representante do ICP-ANACOM.
do SCEE;
c) A autoridade credenciadora tenha capacidade de fis- Artigo 11.º
calização directa sobre todos os serviços de certificação
electrónica disponibilizados. Reuniões
O conselho técnico de credenciação reúne ordinaria-
2 — (Revogado.) mente de seis em seis meses e extraordinariamente por
3 — (Revogado.) iniciativa do seu presidente.
4 — As entidades certificadoras não podem emitir cer-
tificados de nível diverso do imediatamente subsequente Artigo 12.º
ao seu, excepto nos casos de acordos de certificação lateral
ou cruzada promovidos e aprovados pelo Conselho Gestor Apoio logístico
do SCEE. O Gabinete Nacional de Segurança assegura o apoio
5 — Os serviços de registo podem ser atribuídos a enti- logístico e administrativo ao conselho técnico de creden-
dades, individuais ou colectivas, designadas como entida- ciação, suportando também os encargos inerentes ao seu
des de registo, com as quais as entidades certificadoras do funcionamento.
Estado acordam a prestação de serviços de identificação e Artigo 13.º
registo de utilizadores de certificados, bem como a gestão
Colaboração com outras entidades
de pedidos de revogação de certificados, nos termos do
disposto no n.º 1 do artigo 4.º do Decreto Regulamentar A autoridade credenciadora pode, no exercício das com-
n.º 25/2004, de 15 de Julho. petências que lhe estão cometidas pelo presente decreto-lei,
solicitar a outras entidades públicas ou privadas toda a número anterior, para efeitos da emissão de certificados
colaboração que julgar necessária. de credenciação a entidades certificadoras públicas a
quem tal atribuição esteja legalmente cometida.
3 — Os certificados de credenciação podem ser emi-
CAPÍTULO VI tidos, a título provisório, por períodos anuais renováveis
Disposições finais e transitórias até um máximo de três anos, sempre que a autoridade
credenciadora considere necessário determinar procedi-
Artigo 14.º mentos de melhor cumprimento dos requisitos técnicos
aplicáveis.»
Instalação e equipamento da Entidade de Certificação
Electrónica do Estado
Artigo 18.º
Para além do previsto no presente decreto-lei, os demais Norma revogatória
aspectos regulamentares relacionados com a instalação e
o equipamento da Entidade de Certificação Electrónica do São revogados:
Estado são regulados por despacho do membro do Governo a) O Decreto-Lei n.º 234/2000, de 25 de Setembro;
responsável pelo CEGER. b) A alínea i) do artigo 18.º do Decreto-Lei n.º 146/2000,
de 18 de Julho;
Artigo 15.º c) A alínea j) do artigo 5.º do Decreto-Lei n.º 103/2001,
Disposição transitória de 29 de Março.
No ano de 2006, a Secretaria-Geral da Presidência do
Conselho de Ministros transfere para o Gabinete Nacional Resolução do Conselho de Ministros n.º 31/2009
de Segurança os montantes necessários para o cumpri- A República Portuguesa é membro do Fundo Asiático
mento do disposto no artigo 12.º do presente decreto-lei. de Desenvolvimento (FAsD), janela concessional do grupo
do Banco Asiático de Desenvolvimento (BAsD), que se
Artigo 16.º configura como um instrumento multilateral de financia-
Alteração ao Decreto-Lei n.º 290-D/99, de 2 de Agosto
mento crucial na redução da pobreza na região da Ásia e
do Pacífico.
O artigo 9.º do Decreto-Lei n.º 290-D/99, com a redac- Esta região tem registado taxas de crescimento elevadas
ção que lhe foi dada pelo Decreto-Lei n.º 62/2003, de 3 de e sustentadas, verificando-se, em anos mais recentes, uma
Abril, passa a ter a seguinte redacção: taxa de crescimento média de cerca de 6 % por ano. Con-
tudo, e apesar do declínio verificado nas taxas de pobreza,
«Artigo 9.º estimativas do BAsD sugerem que 600 milhões de pessoas
[...]
na região sobrevivem com menos de um dólar por dia.
A pobreza desligada do rendimento tem vindo a tornar-
1— ..................................... -se persistente, o que se evidencia pelos milhões de crianças
2 — Sem prejuízo do disposto no número anterior, as a viver em situação de escassez de recursos alimentares,
entidades certificadoras que emitam certificados qualifi- pelas elevadas taxas de mortalidade maternal e infantil,
cados devem proceder ao seu registo junto da autoridade pela fraca qualidade na educação e pela falta de acesso a
credenciadora, nos termos a fixar por portaria do membro saneamento e água.
do Governo responsável pela autoridade credenciadora. No âmbito do cumprimento dos Objectivos de Desen-
3 — A credenciação e o registo estão sujeitos ao pa- volvimento do Milénio (ODM), os países da região da Ásia
gamento de taxas em função dos custos associados às e do Pacífico estão empenhados em reduzir para metade a
tarefas administrativas, técnicas, operacionais e de fis- proporção da população que vive com menos de um dólar
calização correspondentes, nos termos a fixar por despa- por dia; porém, afigura-se extremamente difícil reduzir a
cho conjunto do membro do Governo responsável pela pobreza desligada do rendimento, objectivo igualmente
autoridade credenciadora e do Ministro das Finanças, incluído nos ODM. É neste contexto que o FAsD se cons-
que constituem receita da autoridade credenciadora.» titui como a principal fonte de financiamento multilateral,
altamente concessional, para 40 países asiáticos de baixo
Artigo 17.º rendimento.
Aditamento ao Decreto-Lei n.º 290-D/99, de 2 de Agosto
Os recursos do FAsD, reconstituídos numa base qua-
drienal, provêm das contribuições dos países doadores do
É aditado ao Decreto-Lei n.º 290-D/99, com a redacção BAsD, e destinam-se a conceder empréstimos sem juros,
que lhe foi dada pelo Decreto-Lei n.º 62/2003, de 3 de bem como doações aos países membros mais pobres da
Abril, o artigo 40.º-A, com a seguinte redacção: região, cuja débil capacidade financeira inviabiliza o re-
curso ao crédito do BAsD, incidindo as suas actividades
«Artigo 40.º-A no apoio a programas que visam o desenvolvimento sus-
Credenciação de entidades certificadoras públicas
tentável, a melhoria das condições de vida das população
e a boa governação.
1 — As disposições constantes dos capítulos III e IV só As negociações da 9.ª reconstituição de recursos do
são aplicáveis à actividade das entidades certificadoras FAsD (FAsD X), cujo objectivo principal passou por dotar
públicas na estrita medida da sua adequação à natureza a instituição de recursos financeiros e orientações estraté-
e às atribuições de tais entidades. gicas para a prossecução dos seus objectivos entre 2009 e
2 — Compete à autoridade credenciadora estabelecer 2012, iniciaram-se em Setembro de 2007 e prolongaram-se
os critérios de adequação da aplicação do disposto no até Maio de 2008.

DL 88.2009 PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

DL 88.2009 PDF

Caricato da

Copyright:

Formati disponibili

Diário da República, 1.ª série — N.

º 70 — 9 de Abril de 2009 2159

PRESIDÊNCIA DO CONSELHO DE MINISTROS cias de compatibilização com a Directiva n.º 1999/93/CE,

2 — Constitui ainda contra-ordenação: «Artigo 1.º

3— ..................................... Artigo 6.º

2 — (Revogado.) (a que se refere o n.º 1 do artigo 5.º)

Artigo 11.º for inferior, e balanço e contas dos exercícios correspon-

2 — Entre outras circunstâncias atendíveis, considera- 5 — A decisão de credenciação é comunicada à Co-

f) Se supervenientemente se verificar alguma das cir- 4 — O registo é recusado em caso de inidoneidade,

l) Informar os requerentes, por forma escrita, de modo Artigo 27.º

Fiscalização e regime sancionatório 1 — Constitui contra-ordenação:

Artigo 36.º-B membro da União Europeia são equiparadas às assinaturas

Organismos de certificação 1 — A regulamentação do presente diploma, nomea-

Artigo 4.º obter o certificado de credenciação referido no n.º 2 do

CAPÍTULO III 6 — A Entidade de Certificação Electrónica do Estado

o Conselho Gestor do SCEE e entre aquela e as entidades CAPÍTULO V

Potrebbero piacerti anche