Aprecieri cu privire la elementele de noutate aduse de propunerea de modificare a Regulamentul (UE) nr. 910/2014 (eIDAS) – eIDAS 2.0

Aprecieri cu privire la elementele de noutate aduse de propunerea de modificare a Regulamentul

In cadrul acestui material voi prezenta ce aduce nou proiectul eIDAS 2.0 si importanta acestui proiect pentru dezvoltarea unui mediu digital de incredere la nivel national si european.

Proiectul eIDAS 2.0 impune statelor membre, la articolul 6a, să elibereze un portofel european de identitate digital (European Digital Identity Wallet – DIW) în cadrul unui sistem eID notificat confom unor standarde tehnice comune si în urma evaluării obligatorii a conformității și a certificării voluntare într-un cadru european de certificare a securității cibernetice, astfel cum este stabilit prin Directiva privind securitatea cibernetică (Directiva NIS 2). Statele Membre au termen de un an pentru a implementa cel putin un sistem pentru emiterea portofelului european de identitate. Un astfel de sisitem poate fi pus la dispozitie si de o entitate privata nu numai de o organizatie publica dintr-un stat Membru (art.6a, 2.c).

Rolul portofelului european de identitate digitala este s[ asigure că persoanele fizice și juridice vor avea posibilitatea să:
– solicite și să obțină în siguranță,
– să stocheze,
– să combine și
– să utilizeze
datele lor de identificare și atestări electronice ale atributelor lor pentru:
– a le permite accesul la servicii publice și private online sub controlul exclusiv utilizatorului;
– a facilita cetatenilor semnarea utilizand semnatura electronica calificata.

Operațiunile de prelucrare a datelor cu caracter personal legate de portofelul european de identitate digitală vor fi certificate numai daca sunt conforme cu articolele 42 și 43 GDPR.

Propunerea eiDAS 2.0 stabilește la articolul 6b dispoziții specifice privind cerințele aplicabile părților care se bazeaza pe un portofel european de identitate digital, pentru prevenirea fraudei și pentru a asigura autentificarea datelor de identificare personală și a atestărilor electronice ale atributelor provenite din portofelul european de identitate digitală.

În scopul punerii la dispoziție a mai multor mijloace de identificare electronică disponibile pentru utilizarea transfrontalieră și îmbunătățirii eficienței procesului de recunoaștere reciprocă a sistemelor de identificare electronică notificate, notificarea a cel puțin unui sistem de identificare electronica de catre statele membre devine obligatorie la articolul 7 (in maxim un an de la data intrarii in vigoare).

În plus, se adaugă dispoziții pentru a facilita si pentru a asigura identificarea unică și persistentă a persoanelor fizice la nivel european la articolul 11a. Aceasta se referă la cazuri în care legea impune identificarea, cum ar fi în domeniul sănătății, în domeniul finanțelor pentru a îndeplini obligațiile de combatere a spălării banilor sau pentru uz judiciar. În acest scop, statelor membre li se va solicita să includă un identificator unic și persistent în setul minim de date de identificare a persoanei.

Posibilitatea statelor membre de a se baza pe certificarea mijloacelor de identificare electronica pentru a asigura conformitatea cu regulamentul, înlocuindu-se astfel procesul de evaluare de tip “peer review” (cum este in versiunea in vigoare a Regulamentului), îmbunătățește eficiența recunoașterii reciproce.

Secțiunea 3 prezintă noi dispoziții privind dependența transfrontalieră de portofelul european de identitate digitală pentru a se asigura că utilizatorii se pot baza pe utilizarea portofelelor europene de identitate digitală pentru a accesa serviciile online furnizate de organismele din sectorul public și de furnizorii de servicii privați care necesită autentificarea utilizatorului. Astfel furnizorii publici de servicii on-line care necesita un mijloc de autentificare pentru acces trebuie sa accepte si DIW. La fel, furnizorii de servicii electronice privati din domeniile transport, energie, bancar si servicii financiare, securitate sociala, sanatate, apa potabila, servicii postale, infrastructuri digitale, educatie si telecomunicatii, care necesita autentificare puternica pentru access, trebuie sa accepte si DIW, daca posesorul doreste sa il foloseasca. Platformele on-line mari (definite in DSA) trebuie sa accepte si identificarea si autentificarea electronica cu DIW, bineinteles, daca posesorul doreste acest lucru.

În capitolul III privind serviciile de încredere, articolul 14 privind aspectele internaționale este modificat pentru a permite Comisiei posibilitatea de a adopta decizii de punere în aplicare care să ateste echivalența cerințelor aplicate serviciilor de încredere stabilite în țări terțe și a serviciilor pe care le furnizează, pe lângă utilizarea acordurilor de recunoaștere reciprocă în conformitate cu articolul 218 din TFUE.

În ceea ce privește dispoziția generală aplicabilă serviciilor de încredere, inclusiv furnizorii de servicii de încredere calificați, articolele 17, 18, 20, 21 și 24 sunt modificate pentru a se alinia la normele aplicabile securității rețelelor și informațiilor în UE. In legatura cu metodele care trebuie utilizate de furnizorii de servicii de încredere calificați pentru a verifica identitatea persoanelor fizice sau juridice cărora li se eliberează certificatele calificate, dispozițiile privind utilizarea mijloacelor de identificare la distanță au fost armonizate și clarificate pentru ca să se asigure că aceleași reguli sunt aplicate în întreaga UEAstfel, echivalenta cu prezenta fizica a unui mijloc de identificare la distanta (identificarea video) nu mai trebuie sa fie reglementat la nivel national, va fi reglementat prin Regulament, inclusiv din punct de vedere tehnic, iar  echivalenta cu prezenta fizica se va certifica de catre un auditor care trebuie sa indeplineasca cerintele specificate de Regulament.

Capitolul III prezintă un nou articol 29a pentru a defini cerințele pentru un serviciu calificat pentru gestionarea dispozitivelor de creare a semnăturilor electronice la distanță, pentru a exista cerinte armonizate la nivel European.

Pentru a se asigura că utilizatorii pot identifica cine se află în spatele unui site web, articolul 45 este modificat pentru a solicita furnizorilor de browsere web (Mozilla, Firefox, Safari etc) să faciliteze utilizarea certificatelor calificate pentru autentificarea site-ului web.

Capitolul III prezintă trei noi secțiuni. Noua secțiune 9 introduce dispoziții privind efectele juridice ale atestărilor electronice de atribute, utilizarea acestora în sectoare definite și cerințele pentru atestări calificate de atribute. Pentru a asigura un nivel ridicat de încredere, la articolul 45d este introdusă o prevedere privind verificarea atributelor pe baza de surse autentice (de incredere). Astfel, se prevede ca, pentru o lista minima de atribute (prevazute in Anexa VI), ale caror sursa sunt institutii de stat, acele institutii de stat sunt obligate sa permita prestatorilor de servicii de atestare de atribute sa poata verifica aceste atributeDe asemenea, prestarea de servicii de atestare ale atributelor nu poate fi facuta de entitatea care gestioneaza direct datele aferente acestor atribute (Art. 45f. 4).

Noua secțiune 10 permite furnizarea de servicii calificate de arhivare electronică la nivelul UE. Articolul 45g privind serviciile de arhivare electronică calificate completează articolele 34 și 40 privind serviciile calificate de prezervare pe termen lung pentru semnături electronice calificate și sigilii electronice calificate.

Noua secțiune 11 stabilește un cadru pentru serviciile de încredere în ceea ce privește crearea și întreținerea registrelor electronice (electronic ledger) și a registrelor electronice calificate. Un registru electronic combină marcarea temporală a datelor și secvențierea acestora cu certitudine cu privire la inițiatorul de date, similar cu semnarea electronică, cu avantajul suplimentar de a permite o guvernanta mai descentralizată, care este potrivită pentru cooperarea mai multor parti (tehnologia din spate este de de fapt blockchain). Acest lucru este important pentru diverse cazuri de utilizare care pot fi construite pe registre mari electronice. Registrele electronice ajută companiile să economisească costuri, făcând coordonarea diverselor parti mai eficientă, mai sigură și facilitează supravegherea reglementară. În absenta unei reglementari europene, exista riscul ca legislatorii nationali sastabileasca standarde nationale divergente. Pentru a preveni fragmentarea, este necesar sa se defineasca un cadru paneuropean unic care sa permita recunoasterea transfrontaliera a serviciilor de incredere care sustin funcționarea registrelor electronice. Acest standard paneuropean pentru operatorii de noduri (de blockchain) se va aplica fără a aduce atingere altor legislații secundare ale UE. În cazul în care registrele electronice sunt utilizate pentru a sprijini emiterea și / sau tranzacționarea de obligațiuni sau pentru activele criptografice, cazurile de utilizare ar trebui să fie compatibile cu toate regulile financiare aplicabile, de exemplu cu Directiva privind piețele din instrumentele financiare, Directiva privind serviciile de plată și cu viitoarele piețe din Regulamentul privind activele criptografice.

In final, capitolul VI are un nou articol 48b pentru a se asigura că statisticile privind utilizarea portofelului european de identitate digitală sunt colectate pentru a monitoriza eficacitatea regulamentului modificat.

Concluzii

Proiectul eIDAS 2.0 continua demersurile actualului Regulament de a stabili reguli comune pentru toate statele membre, in vederea dezvoltarii unui mediu digital sigur si de incredere. Asa  cum probabil ati observat si din aspectele subliniate in acest material, cuvintele cheie sunt armonizarea, facilitarea, clarificarea, prevenirea fragmentarii la nivelul statelor membre.

Un alt aspect important care se evidentiaza si subliniaza o data in plus si prin intermediul eIDAS 2.0 este faptul ca atat portofelele europene de identitate digitala, cat si mijloacele de identificare electronica pot fi emise atat de organisme publice cat si entitati private si la nivelul fiecarui stat membru pot exista in acelasi timp mai multe solutii disponibile cetatenilor. Reamintesc ca in prezent, sunt multe state membre care deja au notificate mai multe mijloace de identificare electronica emise atat de organisme publice cat si de entitati private.

Conform precizarilor Memorandumului explicativ care însoțește draftul noii forme a Regulamentului 910/2014, deşi serviciile de încredere sunt clar reglementate, există practici naționale distincte care aduc un risc mare de fragmentare a pieței digitale europene. Din pacate, astfel de practici, interpretari “originale” ale prevederilor Regulamentului eIDAS, exista si in Romania pentru anumite spete.

De aceea, o practică uniformă la nivelul tuturor statelor membre va consolida piața unică, permiţând cetățenilor, altor rezidenți și întreprinderilor să se bazeze pe un ecosistem îmbunătățit pentru servicii de încredere şi de identitate electronică recunoscute și acceptate peste tot în Uniunea Europeană

Faptul ca unul dintre cele doua obiective ale portofelului european de identitate digitala este de a facilita cetatenilor sa semneze electronic utilizand semnatura calificata (Art. 6a, punctul 3), arata, fara echivoc, ca utilizarea la scara larga a semnaturilor electronice calificate a fost, inca de la inceput, obiectivul central al Regulamentului eIDAS si, in nici un caz incurajarea altor abordari, paguboase si nesustinute cu argumente tehnice, de concentrare a efortului in dezvoltarea de alternative la semnatura calificata.

Dr. Costin Burdun, Expert digitalizare ANSSI

* Opinie susținută în legătură cu dezbaterea Evoluția încrederii – elementele de noutate aduse de propunerea de modificare a Regulamentul (UE) nr. 910/2014 (eIDAS), ediția 483, organizată de Societatea de Științe Juridice (SSJ)

Ai nevoie de un avocat expert?

Contacteaza-ma chiar acum!

Ma poti contacta oricand

Sunt la dispozitia ta atunci cand ai nevoie si astept sa discutam telefonic despre nevoile tale.