Decreto-Lei n.º 290-D/99, de 2 de Agosto

3.1.3.1. Âmbito de aplicação

O Decreto-Lei n.º 290-D/99, de 2 de Agosto, regula a validade, eficácia e valor probatório dos documentos electrónicos, a assinatura electrónica e a actividade de certificação de entidades certificadoras estabelecidas em Portugal45 constituindo o regime jurídico dos documentos electrónicos e da assinatura electrónica.

45

Cf. Art. 1.º do Decreto-Lei n.º 290-D/99, D.R. n.º 178, com as alterações introduzidas pelo Decreto-Lei n.º 62/2003, de 3 de Abril.

Este diploma estabelece o primeiro passo legislativo em Portugal das assinaturas electrónicas, sendo o culminar da Resolução do Conselho de Ministros n.º 115/9846, de 1 de Setembro que determinou como um dos objectivos a alcançar no âmbito da Iniciativa Nacional para o Comércio Electrónico, a definição do regime jurídico aplicável aos documentos electrónicos e assinatura digital.

Este Decreto é publicado no dia 2 de Agosto de 1999, sendo portanto anterior à Directiva 1999/93/CE, anteriormente analisada, relativa a um quadro legal comunitário para as assinaturas electrónicas, tendo acolhido as soluções avançadas na proposta de directiva do Parlamento Europeu e do Conselho que deu lugar à citada Directiva.

Posteriormente, o Decreto-Lei n.º 62/2003, de 3 de Abril, transpôs para a ordem jurídica interna a Directiva 1999/93/CE, alterando substancialmente a redacção originária do Decreto-Lei n.º 290-D/99.

3.1.3.2. Assinaturas electrónicas qualificadas

Uma assinatura electrónica qualificada é definida no Decreto-Lei n.º290-D/99, com as alterações introduzidas pelo Decreto-Lei n.º 62/2003, de 3 de Abril, como uma assinatura digital ou outra modalidade de assinatura electrónica avançada47 que satisfaça exigências de segurança idênticas às da assinatura digital baseadas num certificado qualificado e criadas através de um dispositivo seguro de criação de assinatura.

A aposição de uma assinatura electrónica qualificada a um documento electrónico equivale à assinatura autógrafa dos documentos com forma escrita sobre suporte de papel criando a presunção de que:48

46

Criou a INCE

47

A definição de assinatura electrónica avançada incluída no art. 2.º do Decreto-Lei n.º 290-D/99, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.º 62/2003, de 3 de Abril, é idêntica à definição utilizada pela DIRECTIVA 1999/93/CE

48

cf. art. 7.º do Decreto-Lei n.º 290-D/99, D.R. n.º 178, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.º 62/2003, de 3 de Abril.

a) A pessoa que apôs a assinatura electrónica qualificada é o titular desta ou é representante, com poderes bastantes, da pessoa colectiva titular da assinatura electrónica qualificada;

b) A assinatura electrónica qualificada foi aposta com a intenção de assinar o documento electrónico;

c) O documento electrónico não sofreu alteração desde que lhe foi aposta a assinatura electrónica qualificada.

Considera-se igualmente que a assinatura electrónica qualificada substitui a aposição de selos, carimbos, marcas ou outros sinais identificadores do seu titular.

Verificamos assim que os efeitos legais da assinatura electrónica e a admissibilidade como meio de prova se afiguram os mesmos que uma assinatura manuscrita, pelo que uma assinatura electrónica qualificada deve corresponder unicamente a uma só pessoa singular ou colectiva. No entanto, se o certificado associado a essa assinatura estiver revogado, caduco ou suspenso na data da aposição equivale à falta de assinatura.

3.1.3.3. Actividade de certificação

O acesso à actividade de certificação encontra-se regulamentado no artigo 9.º e seguintes do Decreto-Lei n.º290-D/99, com as alterações introduzidas pelo Decreto-Lei n.º 62/2003, de 3 de Abril.

A actividade de certificação de assinaturas digitais não está sujeita a autorização administrativa prévia, sendo livre o exercício da actividade de entidade certificadora, no entanto a credenciação de entidades certificadoras de assinaturas electrónicas qualificadas é feita através de pedido apresentado à autoridade credenciadora, e é válida pelo período de três anos, podendo ser renovada por períodos de igual duração.

As entidades certificadoras privadas, que sejam pessoas colectivas, devem estar dotadas de capital social de valor mínimo de 200.000 euros ou, não sendo sociedades, do valor patrimonial equivalente.

Nos termos do Decreto-Lei n.º290-D/99, com as alterações introduzidas pelo Decreto-Lei n.º 62/2003, de 3 de Abril, da alínea i) do n.º 3 do art. 18º do Decreto-Lei n.º 146/2000, de 18 de Julho, e do Decreto-Lei n.º 234/2000, de 25 de Setembro, o Instituto das Tecnologias da Informação na Justiça (ITIJ)49 é a Autoridade Credenciadora competente para a credenciação e fiscalização das entidades certificadoras estabelecidas em Portugal, tendo como atribuições:

a) Credenciar as entidades certificadoras que emitem certificados qualificados; b) Registar as entidades certificadoras que emitem certificados qualificados; c) Fiscalizar as entidades certificadoras.

3.1.3.4. Fiscalização

A actividade de entidade certificadora, dada a especificidade da função que desempenha, carece de um controlo e acompanhamento rigoroso pela autoridade credenciadora, pelo que as entidades certificadoras credenciadas devem enviar semestralmente a esta autoridade uma versão actualizada das relações de todos os sócios, com especificação das respectivas participações directas e indirectas, bem como dos membros dos órgãos de administração e de fiscalização.

Os revisores oficiais de contas e os auditores externos que prestem serviços de auditoria, por imposição legal, às entidades certificadoras, devem comunicar à autoridade credenciadora as infracções graves às normas legais ou regulamentares que detectem no exercício das suas funções.

49

Para mais informações sobre esta instituição ou sobre os requisitos para a obtenção de credenciação na actividade de certificação vide www.itij.mj.pt

Se ocorrerem irregularidades graves na administração, organização ou fiscalização interna da entidade a credenciação será revogada, sem prejuízo de outras sanções aplicáveis nos termos da lei.50

Um auditor de segurança acreditado elabora um relatório anual que envia à autoridade credenciadora, até 31 de Março de cada ano civil, podendo a entidade certificadora comprovar através desse relatório, que realizou uma avaliação dos riscos e identificou e implementou os controlos necessários à segurança da informação.