Com o crescimento do comércio eletrónico e o aumento das relações jurídicas por meios eletrónicos, em 1999, a comunidade europeia criou um quadro legal comunitário para assinaturas eletrónicas, com a
diretiva 1999/93/CE [28], transposta para o direito português pelo Decreto-Lei (DL) n.º 290-D/99, de 2
de agosto [29].
Devido à existência de diferentes tipos de assinatura eletrónica, a diretiva definiu um conjunto de con- ceitos e requisitos com o objetivo de estabelecer uma base legal, para permitir que as assinaturas ele- trónicas passassem a ser juridicamente equivalentes às assinaturas manuscritas. Entre esses conceitos destacam-se os conceitos de assinatura eletrónica avançada, dispositivo seguro de criação de assinatu- ras e certificado qualificado.
Segundo a diretiva, para um documento eletrónico ter força probatória plena, isto é, para ter garanti- damente efeito legal e admissibilidade como meio de prova para efeitos processuais, o documento deverá
conter umaassinatura electrónica avançada baseada num certificado qualificado e criada através de dis-
positivo seguro de criação de assinaturas1. A definição que acabamos de apresentar corresponde precisa-
mente à definição de assinatura eletrónica qualificada. Embora não conste originalmente na diretiva, nem
no DL n.º 290-D/99, o termo é apresentado no DL n.º 62/2003, de 3 de Abril [30], que veio alterar o DL
n.º 290-D/99, pelo facto de não adotar uma terminologia tecnologicamente neutra. A título de exemplo, esta alteração abriu as portas a métodos de assinatura alternativos à assinatura digital, como por exemplo
1o que não significa que outras modalidades de assinatura não tenham efeito legal e não sejam admissíveis como meio de
prova (artigo 5.2).
4.2. ASSINATURA ELETRÓNICA QUALIFICADA
as assinaturas biométricas [31].
Com o aparecimento de soluções de assinatura remota, tornou-se evidente que as bases da definição de assinatura eletrónica qualificada eram, de certo modo, incompatíveis com este tipo de sistemas, visto
que, segundo a diretiva, uma assinatura eletrónica avançada deveser criada com meios que o signatário
pode manter sob seu controlo exclusivo, definição essa que coloca algum impedimento à gestão dos meios de criação de assinatura por parte de terceiros. Por outro lado, a definição de dispositivo seguro de criação de assinaturas também nada indica relativamente à possibilidade de ser gerido por terceiros.
O regulamento europeu n.º 910/2014 [32], relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno (comummente conhecido como eIDAS), vem substituir
a diretiva 1999/93/CE, entrando em vigor a 1 de julho de 20162.
O regulamento eIDAS veio alterar o conceito de assinatura eletrónica qualificada, que consta na diretiva e no DL n.º 290-D/99. Em particular, introduz modificações nos requisitos apresentados na diretiva, para possibilitar a disponibilização de soluções e serviços inovadores, por parte de prestadores de serviços de confiança, como é o caso da assinatura remota. Na proposta inicial do regulamento, os efeitos legais e admissibilidade enquanto prova em processo judicial de outros tipos de assinaturas eletrónicas, que não as qualificadas, tinham sido abolidos, o que gerou alguma crítica na altura [33]. Porém, na versão final, essas cláusulas foram restituídas.
Citando o novo regulamento, uma assinatura eletrónica qualificada é assinatura eletrónica avançada
criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica. À primeira vista, a definição parece a mesma da diretiva, no entanto os conceitos que lhe estão subjacentes sofreram algumas alterações.
De acordo com o artigo 26.º, uma assinatura eletrónica avançada deve:
1. Estar associada de modo único ao signatário; 2. Permitir identificar o signatário;
3. Ser criada utilizando dados para a criação de uma assinatura eletrónica que o signatário pode,com um elevado nível de confiança, utilizar sob o seu controlo exclusivo;
4. Estar ligada aos dados por ela assinados de tal modo que seja detetável qualquer alteração posterior dos dados;
Digamos que a terceira condição desta definição foi ligeiramente “relaxada”, remetendo para a ideia de que o signatário pode delegar a gestão dos meios de criação de assinatura a terceiros, sem no entanto perder o controlo exclusivo sobre os mesmos.
2A diretiva 1999/93/CE foi assim revogada pelo novo regulamento. Fica dúvida (questão jurídica) relativamente aos efeitos de
entrada em vigor do regulamento relativamente às normas do DL n.º 290-D/99, até porque o regulamento é de aplicação direta em todo o espaço da União Europeia.
CAPÍTULO 4. SISTEMA DE ASSINATURA REMOTA
Analisemos agora os requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas, esta- belecidos no anexo II do regulamento:
1. Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:
(a) A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;
(b) Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinatu- ras eletrónicas só possam, na prática, ocorrer uma vez;
(c) Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assina- turas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;
(d) Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assina- turas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.
2. Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.
3. A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assina-
turas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.
4. Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário
podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos
os seguintes requisitos:
(a) A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;
(b) O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.
Comparativamente com os requisitos da diretiva, aqui vemos modificações para permitir claramente a geração ou a gestão de chaves de assinatura por prestadores de serviços de confiança, bem como a duplicação de chaves para fins de cópia de segurança.
Por último, os requisitos aplicáveis aos certificados qualificados, definidos no anexo I do regulamento, não sofreram alterações significativas, comparativamente com os da diretiva.