CELEX:32024R2982: Regulamentul de punere în aplicare (UE) 2024/2982 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește protocoalele și interfețele care vor fi suportate de cadrul pentru identitatea digitală europeană

(1)

Cadrul pentru identitatea digitală europeană instituit prin Regulamentul (UE) nr. 910/2014 este un element-cheie în cadrul demersului de instituire a unui ecosistem pentru identitatea digitală securizat și interoperabil în întreaga Uniune. Portofelele europene pentru identitatea digitală (denumite în continuare „portofelele”) alcătuiesc temelia acestui cadru care are drept scop facilitarea accesului la servicii în toate statele membre, atât pentru persoanele fizice, cât și pentru cele juridice, asigurând în același timp protecția datelor cu caracter personal și a confidențialității.

(2)

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (2) și, după caz, Directiva 2002/58/CE a Parlamentului European și a Consiliului (3) se aplică tuturor activităților de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.

(3)

Articolul 5a alineatul (23) din Regulamentul (UE) nr. 910/2014 împuternicește Comisia să stabilească, dacă este necesar, specificațiile și procedurile relevante. Pentru aceasta sunt prevăzute patru regulamente de punere în aplicare: unul privind protocoalele și interfețele: Regulamentul de punere în aplicare (UE) 2024/2982 al Comisiei (4), unul privind integritatea și funcționalitățile de bază: Regulamentul de punere în aplicare (UE) 2024/2979 al Comisiei (5), unul privind datele de identificare personală și atestatul electronic al atributelor: Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei (6) și unul privind notificările efectuate către Comisie: Regulamentul de punere în aplicare (UE) 2024/2980 al Comisiei (7). Prezentul regulament stabilește cerințele relevante pentru protocoale și interfețe.

(4)

Comisia evaluează periodic noile tehnologii, practici, standarde sau specificații tehnice. Pentru a asigura cel mai înalt nivel de armonizare între statele membre în ceea ce privește dezvoltarea și certificarea portofelelor, specificațiile tehnice prevăzute în prezentul regulament se întemeiază pe activitatea desfășurată pe baza Recomandării (UE) 2021/946 a Comisiei din 3 iunie 2021 privind un set de instrumente comun al Uniunii pentru o abordare coordonată în direcția unui cadru european al identității digitale (8), în special pe arhitectura și cadrul de referință. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului (9), Comisia ar trebui să revizuiască și să actualizeze prezentul regulament de punere în aplicare, dacă este necesar, pentru a îl menține aliniat la evoluțiile mondiale și la arhitectura și cadrul de referință, precum și pentru a respecta cele mai bune practici de pe piața internă.

(5)

Pentru a asigura transparența și fiabilitatea beneficiarilor portofelelor față de utilizatorii portofelelor, protocoalele și interfețele utilizate de soluțiile pentru portofel ar trebui să le ofere utilizatorilor portofelelor un mecanism fiabil de autentificare a beneficiarilor portofelelor și a altor unități de portofel. Pe de altă parte, furnizorii de portofele ar trebui să ofere un mecanism de autentificare și validare a unităților de portofel, astfel încât beneficiarii să poată primi asigurări cu privire la fiabilitatea și autenticitatea unităților de portofel. În plus, infrastructura tehnică a portofelelor ar trebui, de asemenea, să fie concepută astfel încât să se asigure faptul că doar cantitatea minimă necesară de date este transferată numai beneficiarilor autorizați, menținând, în același timp, imposibilitatea stabilirii unei legături între diferitele tranzacții. Pentru a facilita emiterea de date de identificare personală și de atestate electronice ale atributelor, toate soluțiile pentru portofel ar trebui să suporte un set minim de protocoale și interfețe.

(6)

Pentru a asigura utilizabilitatea soluțiilor pentru portofel în toate statele membre, toate soluțiile pentru portofel ar trebui să suporte specificații tehnice comune atunci când datele de identificare personală și atestatele electronice ale atributelor sunt prezentate beneficiarilor prin intermediul portofelului, atât la distanță, cât și în proximitate. În plus, unitățile de portofel pot suporta alte protocoale și interfețe pentru cazuri de utilizare specifice.

(7)

Pentru a asigura protecția datelor începând cu momentul conceperii și în mod implicit, portofelele ar trebui să dispună de mai multe caracteristici de îmbunătățire a confidențialității pentru a-i împiedica pe furnizorii de mijloace de identificare electronică și de atestate electronice ale atributelor să combine datele cu caracter personal obținute atunci când furnizează alte servicii cu datele cu caracter personal prelucrate pentru a furniza serviciile care intră în domeniul de aplicare al Regulamentului (UE) nr. 910/2014. Astfel cum se prevede în Regulamentul (UE) nr. 910/2014, beneficiarii nu trebuie să solicite utilizatorilor să furnizeze alte date decât cele indicate pentru utilizarea preconizată a portofelelor în cursul procesului de înregistrare. Utilizatorii portofelelor ar trebui să poată verifica în orice moment datele de înregistrare ale beneficiarilor. În plus, atunci când utilizatorii solicită atribute, unitățile de portofele ar trebui să le poată afișa certificatele de înregistrare ale beneficiarilor portofelului, dacă sunt disponibile. Acest lucru ar trebui să le permită utilizatorilor portofelului să verifice dacă atributele solicitate de beneficiarul portofelului fac parte din atributele lor înregistrate, oferind asigurări că cererea este legitimă și de încredere.

(8)

Pentru a proteja datele utilizatorilor portofelelor, furnizorii de portofele ar trebui să se asigure că unitățile de portofel validează cererile beneficiarilor portofelelor sau ale altor unități de portofel înainte de a pune la dispoziție date. Din același motiv și în conformitate cu articolul 5a alineatul (4) litera (d) punctul (ii) din Regulamentul (UE) nr. 910/2014, furnizorii de portofele ar trebui să se asigure că unitățile de portofel le permit utilizatorilor portofelelor să transmită beneficiarilor portofelelor cereri de ștergere a datelor.

(9)

Pentru a permite reacții rapide în cazul oricăror preocupări privind protecția datelor legate de articolul 5a alineatul (4) litera (d) punctul (iii) din Regulamentul (UE) nr. 910/2014, furnizorii de portofele ar trebui să se asigure că soluțiile pentru portofel oferă mecanisme de semnalare a unui beneficiar autorității naționale pentru protecția datelor competente. Furnizorilor de portofele și autorităților de protecție a datelor ar trebui să li se acorde o flexibilitate adecvată în ceea ce privește instituirea unor mecanisme adecvate de interacțiune cu autoritățile de protecție a datelor din statele membre.

(10)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (10) și a emis un aviz la 30 septembrie 2024.

(11)

Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului menționat la articolul 48 din Regulamentul (UE) nr. 910/2014,

1.

emiterea de date de identificare personală și de atestate electronice ale atributelor către unitățile de portofel;

2.

prezentarea atributelor datelor de identificare personală și a atestatelor electronice ale atributelor către beneficiarii portofelului și alte unități de portofel;

3.

comunicarea cererilor de ștergere a datelor către beneficiarii portofelului;

4.

semnalarea beneficiarilor portofelului către autoritățile de supraveghere instituite în temeiul articolului 51 din Regulamentul (UE) 2016/679.

Prezentul regulament ar trebui actualizat periodic pentru a rămâne aliniat la evoluțiile tehnologice și ale standardelor și la activitatea desfășurată pe baza Recomandării (UE) 2021/946, în special la arhitectura și cadrul de referință.

1.

„beneficiar al portofelului” înseamnă un beneficiar care intenționează să recurgă la unități de portofel pentru furnizarea de servicii publice sau private prin intermediul interacțiunii digitale;

2.

„utilizator al portofelului” înseamnă un utilizator care deține controlul asupra unității de portofel;

3.

„soluție pentru portofel” înseamnă o combinație de software, hardware, servicii, setări și configurații, inclusiv instanțe ale portofelului, una sau mai multe aplicații criptografice securizate pentru portofel și unul sau mai multe dispozitive criptografice securizate pentru portofel;

4.

„unitate de portofel” înseamnă o configurație unică a unei soluții pentru portofel care include instanțe ale portofelului, aplicații criptografice securizate pentru portofel și dispozitive criptografice securizate pentru portofel, furnizată de un furnizor de portofel unui utilizator individual al portofelului;

5.

„furnizor de portofel” înseamnă o persoană fizică sau juridică care furnizează soluții pentru portofel;

6.

„instanță a portofelului” înseamnă aplicația instalată și configurată pe dispozitivul sau în mediul unui utilizator de portofel, care face parte dintr-o unitate de portofel și pe care utilizatorul portofelului o utilizează pentru a interacționa cu unitatea de portofel;

7.

„aplicație criptografică securizată pentru portofel” înseamnă o aplicație care gestionează active critice prin faptul că este legată de funcțiile criptografice și necriptografice furnizate de dispozitivul criptografic securizat pentru portofel și utilizează aceste funcții;

8.

„dispozitiv criptografic securizat pentru portofel” înseamnă un dispozitiv inviolabil care oferă un mediu legat de aplicația criptografică securizată pentru portofel și care este utilizat de aceasta pentru a proteja activele critice și pentru a furniza funcții criptografice pentru executarea în condiții de siguranță a operațiunilor critice;

9.

„active critice” înseamnă active din cadrul unei unități de portofel sau legate de o astfel de unitate care au o importanță atât de extraordinară încât, în cazul în care disponibilitatea, confidențialitatea sau integritatea lor este compromisă, acest lucru ar avea un efect foarte grav, de slăbire a capacității de a recurge la unitatea de portofel;

10.

„certificat de acces pentru beneficiarul portofelului” înseamnă un certificat pentru sigiliile electronice sau semnăturile electronice care îl autentifică și îl validează pe beneficiarul portofelului și care este eliberat de un furnizor de certificate de acces pentru beneficiarii portofelelor;

11.

„furnizor de certificate de acces pentru beneficiarii portofelelor” înseamnă o persoană fizică sau juridică mandatată de un stat membru să elibereze certificate de acces pentru beneficiarii portofelelor înregistrați în statul membru respectiv;

12.

„atestat al unității de portofel” înseamnă un obiect de date care descrie componentele unității de portofel sau permite autentificarea și validarea componentelor respective;

13.

„politică de divulgare încorporată” înseamnă un set de norme, încorporat de către furnizorul său într-un atestat electronic al atributelor, care precizează condițiile pe care trebuie să le îndeplinească un beneficiar al portofelului pentru a avea acces la atestatul electronic al atributelor;

14.

„certificat de înregistrare al beneficiarului portofelului” înseamnă un obiect de date care indică atributele pe care beneficiarul le-a înregistrat în scopul de a le solicita utilizatorilor;

15.

„furnizor de date de identificare personală” înseamnă o persoană fizică sau juridică responsabilă cu emiterea și revocarea datelor de identificare personală și cu asigurarea faptului că datele de identificare personală ale unui utilizator sunt legate criptografic de o unitate de portofel;

16.

„legătură criptografică” înseamnă metoda de corelare a datelor de identificare personală sau a atestatelor electronice ale atributelor cu unitățile de portofel prin mijloace criptografice.

1.

autentifică și validează certificatele de acces pentru beneficiarii portofelului în cazul interacțiunii cu beneficiari ai portofelului;

2.

autentifică și validează atestatele unității de portofel ale altor unități de portofel în cazul interacțiunii cu alte unități de portofel;

3.

autentifică și validează cererile adresate prin utilizarea certificatelor de acces pentru beneficiarii portofelului sau a atestatelor unității de portofel ale altor unități de portofel, după caz;

4.

autentifică și validează certificatul de înregistrare al beneficiarului portofelului, după caz;

5.

afișează pentru utilizatorii portofelului informațiile conținute în certificatele de acces pentru beneficiarii portofelului sau în atestatele unității de portofel;

6.

afișează pentru utilizatorii portofelului, după caz, atributele pe care utilizatorii portofelului au obligația să le prezinte;

7.

afișează pentru utilizatorii portofelului, după caz, informațiile conținute în certificatul de înregistrare al beneficiarului portofelului;

8.

prezintă atestate ale unității de portofel beneficiarilor portofelului sau unităților de portofel care solicită acest lucru;

9.

nu prezintă niciun atribut solicitat beneficiarilor portofelului sau unităților de portofel până când nu sunt îndeplinite următoarele cerințe:

10.

permit aplicarea unor tehnici de menținere a confidențialității care asigură imposibilitatea stabilirii unei legături, în cazul în care atestatul electronic al atributelor nu necesită identificarea utilizatorului portofelului, atunci când prezintă atestate sau date de identificare personală diferiților beneficiari ai portofelului.