Revista de Derecho Informático: Alfa-redi

Abstract: Portugal acaba de se integrar no grupo de países que publicaram leis nesse sentido, através da publicação do Decreto-Lei nº 290-D/99, de 2 de Agosto, cujo projecto foi elaborado no quadro da “Iniciativa Nacional para o Comércio Electrónico”, aprovada pela Resolução do Conselho de Ministros nº 114/98, a par de outro importante diploma sobre facturas electrónicas: Decreto-Lei nº 375/99, de 18.9.

1. O influxo das telecomunicações na transformação do mundo do Direito ganhou uma dinâmica imparável sobretudo a partir dos anos 80 deste século, com a introdução de tecnologia informática nos equipamentos e serviços de telecomunicações, criadora de progressiva diversificação e redução de custos e preços dos respectivos meios e serviços.

E tal evolução acentuou-se drasticamente a partir de meados dos anos 90, graças ao explosivo crescimento da acessibilidade à Internet, que significou a transição de uma concepção “fechada “ das telecomunicações para uma concepção “aberta”, caracterizada pela generalização da acessibilidade aos respectivos serviços ou aplicações, até ao nível dos próprios utilizadores domésticos.

Acrescenta-se a este factor de profunda mudança a acelerada convergência tecnológica entre as telecomunicações, os media de comunicação áudio e audiovisual e as tecnologias de informação, potenciando o aparecimento de novas e mais generalizadas facilidades postas à disposição dos utilizadores.

Esta nova realidade, geradora de redefinição das estratégias dos Estados e das empresas, de desafios e oportunidades económicas e culturais, de qualidade de vida, é, porém, também fonte de um bom número de temas críticos, entre os quais algumas questões significativas na óptica dos seus reflexos sobre o Direito.

Dessas problemáticas, uma das principais diz respeito à contratação electrónica: ou seja, à utilização dos meios de telemática ou tele-informática no âmbito das transacções comerciais, como via para a transmissão das declarações de vontade que consubstanciam a celebração de contratos comerciais e materializam a execução das prestações por eles geradas.

Realmente, embora a pessoa comum associe a ideia de contrato a um documento escrito e assinado por duas ou mais partes, a verdade é que só numa pequena minoria de casos a celebração de contratos dá origem a instrumentos escritos e subscritos pelos contraentes. Ao invés, nas transacções comerciais entre empresas ou entre estas e os consumidores, para além da imensa maioria de casos em que a transacção é puramente verbal, mesmo os contratos escritos são geralmente celebrados, na prática habitual, pela troca de algumas mensagens distintas física e temporalmente, que materializam as declarações de vontade pelas quais as partes reciprocamente se obrigam: consulta, oferta, aceitação, factura, pagamento, recibo.

Ora, como a nossa cultura negocial e jurídica se achava tradicionalmente construída em torno do uso de suportes escritos em papel para tais mensagens, toda essa base cultural ficou posta em questão quando elas passaram a ser trocadas por via telemática. É certo que, à primeira vista, as mensagens trocadas entre participantes em transacções por meios electrónicos não divergem essencialmente dos documentos escritos em papel que tradicionalmente serviam para transmitir as comunicações de vontade negociais. O suporte é diferente, mas o conteúdo é idêntico. Por isso, põem-se em relação a esses documentos electrónicos problemas semelhantes aos que o Direito enfrentou quanto aos documentos em papel. É que a eficácia jurídica dos documentos depende da confiança que possam merecer como reproduções fidedignas de factos ou objectos, em especial de manifestações de vontade contratual de determinadas pessoas.

Ora, sucede que a comunicação telemática é muito célere, mas é impessoal quando não implica a transmissão de voz e/ou imagem dos participantes: num contexto de transmissão telemática de mensagens escritas, é crítica a possibilidade de o destinatário verificar a identidade do remetente, o que coloca em causa a aplicação de todas as regras legais e sociais que dependem da identificação de uma pessoa em comunicação com outra.

O risco de alguém se fazer passar por outrem na emissão de mensagens telemáticas faz emergir a ponta de um “iceberg” que comporta múltiplos aspectos, o principal dos quais reside na necessidade de confiança dos parceiros em transacções de comércio electrónico, ou em procedimentos administrativos conduzidos por via telemática, quanto à identidade real da outra parte com quem visam relacionar-se. No caso do jovem mercado que a Internet abriu, embora já se manifeste a dinâmica irresistível da sua expansão, existem fundados motivos para receio de fraudes, das quais boa parte poderão basear-se na simulação de identidades pessoais por terceiros de má fé. Daí que se torne imperioso adoptar mecanismos que confiram às transacções telemáticas o grau necessário de segurança, já que esta sempre foi o fundamento essencial do desenvolvimento das relações económicas.

Nesta perspectiva, suscitam-se em relação aos documentos electrónicos os clássicos três tipos de problemas em tema de segurança:

a) autenticidade, ou seja, a correspondência entre o autor aparente e o autor real do documento, que se comprova normalmente através de uma assinatura;

b) integridade, isto é, a preservação dos documentos electrónicos contra alterações que lhes modifiquem o conteúdo;

c) enfim, a confidencialidade dos documentos, ou seja, a sua preservação contra o acesso por pessoas não autorizadas, com recurso a técnicas de criptografia.

2. É por isso que, no panorama do mais recente direito comparado, avulta a tomada por parte de várias organizações internacionais (União Europeia, UNCITRAL, OCDE, CCI) e em múltiplos países (já existem leis nos EUA, Alemanha, Itália, Espanha, Argentina, Colômbia, entre outros; e são conhecidos projectos legislativos em muitos mais) de várias iniciativas com vista à formulação de textos legislativos no sentido de criar condições de base favoráveis ao desenvolvimento em segurança do Comércio Electrónico. E reconhece-se que, entre essas condições, os alicerces fundamentais consistem na definição dos requisitos para que os documentos electrónicos possam ser considerados como meio seguro de formalização e de prova dos contratos e outros actos jurídicos que através deles sejam formalizados.

Daí, também, a importância do requisito da assinatura dos documentos electrónicos, sendo certo que a maior parte das experiências legislativas já empreendidas ou em projecto adoptam como processo técnico a assinatura digital, a tecnologia mais actualizada e experimentada.

Portugal acaba de se integrar no grupo de países que publicaram leis nesse sentido, através da publicação do Decreto-Lei nº 290-D/99, de 2 de Agosto, cujo projecto foi elaborado no quadro da “Iniciativa Nacional para o Comércio Electrónico”, aprovada pela Resolução do Conselho de Ministros nº 114/98, a par de outro importante diploma sobre facturas electrónicas: Decreto-Lei nº 375/99, de 18.9.

Desde já se faz notar que o Decreto-Lei nº 290-D/99 foi publicado antes da aprovação – ocorrida em 30.11.1999 – e da publicação – ainda não ocorrida na data desta apresentação – da Directiva sobre um quadro comunitário para as assinaturas electrónicas, pelo que não constitui formalmente um diploma de transposição daquela Directiva para a ordem jurídica interna portuguesa. Contudo, as versões preparatórias da Directiva foram tidas em conta na elaboração deste Decreto-Lei e, nessa medida, este antecipa em larga medida a consagração no direito interno nacional da generalidade das soluções da Directiva.

O regime instituído pelo Decreto-Lei nº 290-D/99 não se limita, porém, a conferir validade jurídica à assinatura digital, abrangendo outros aspectos de grande importância para o desenvolvimento dos aspectos económicos e político-administrativos da Sociedade de Informação. Tentarei, em seguida, dar uma ideia sumária das principais disposições desse diploma.

3. O primeiro tema a que o Decreto-Lei nº 290-D/99 dedica atenção é, precisamente, o da definição de regras bases sobre os documentos electrónicos.

3.1. Desde logo, o art. 2º, al. a), define documento electrónico como «o documento elaborado mediante processamento electrónico de dados».

Note-se que não se define aqui o que seja documento, fazendo-se, assim, uma remissão implícita para a definição constante do art. 362º do Cód. Civil, que é tecnologicamente neutra, conforme entendimento corrente da doutrina jurídica.

O documento electrónico é basicamente o documento formado mediante o uso de um computador, realidade que é acessível à experiência comum de uma pessoa média dos nossos dias. Esta categoria dos documentos não é completamente homogénea, podendo classificar-se, de acordo com os seguintes critérios:

A) Com base no modo de introdução na memória do computador, temos: documentos originários, que são introduzidos na memória do computador através da reprodução mecânica de um facto externo, em particular de um precedente documento escrito; e documentos derivados, cuja introdução na memória do computador se faz através de equipamentos memorizadores a ele conexos: leitores ópticos, voice recognizers, ou sensores .

B) Consoante o modo como os documentos são produzidos pelo computador, podem distinguir-se: documentos electrónicos em sentido estrito, que são memorizados em forma digital na memória do computador, ou em fitas magnéticas, ou em discos magnéticos ou ópticos, e são destinados apenas a ser lidos pelo computador, pelo que não podem ser lidos ou apercebidos pelo homem a não ser através de equipamentos tradutores que tornem perceptíveis e compreensíveis os sinais digitais pelos quais são constituídos; e documentos electrónicos em sentido amplo, ou simplesmente documentos informáticos, que são todos os gerados pelo computador através dos seus equipamentos periféricos - impressora, “plotter”, braço dum robot, etc. -, de modo a serem lidos ou interpretados pelo homem sem necessidade de utilização de equipamentos tradutores.

3.2. O artigo 3º do Decreto-Lei nº 290-D/99 visa essencialmente resolver as questões fundamentais de direito probatório material respeitantes ao valor dos documentos electrónicos como meios de prova dos factos por eles revelados ou indiciados, introduzindo assim certas limitações no princípio geral da livre apreciação desses documentos pelo julgador. É o que sucede, p. ex., quando se atribui o valor de prova plena aos documentos que preencham certos requisitos, ou relativamente aos quais se verifiquem certas vicissitudes.

Ora, a lei civil distingue entre o valor probatório dos documentos escritos, aos quais se referem os arts. 363º a 367º do Cód. Civil, e dos documentos que, não revestindo forma escrita, constituam uma “reprodução mecânica de factos ou coisas”, tais como “as reproduções fotográficas e cinematográficas, os registos fonográficos” e outros, na linguagem tecnologicamente datada do art. 368º do Cód. Civil.

O nº 1 deste artigo 3º do Decreto-Lei nº 290-D/99 torna claro que o documento electrónico que contenha uma declaração escrita é, para todos os efeitos, um documento escrito; ou seja, que a mera circunstância de o texto estar acessível ao leitor apenas no monitor de um computador ou num terminal vídeo, antes e à margem da sua impressão em papel, não retira a esse texto o carácter de um escrito. Assim, se o acto documentado estiver legal ou convencionalmente sujeito ao requisito de forma escrita, esse requisito será para todos os efeitos de considerar como preenchido por um documento electrónico que contenha uma declaração escrita.

3.3. A assinatura dos documentos é requisito de enorme importância, porque um documento não assinado não tem legalmente valor superior a qualquer outro meio de prova comum, isto é, não pode de modo nenhum atingir a força probatória plena que cabe aos documentos autênticos (art. 371º, 1, Cód. Civil) e autenticados (art. 377º Cód. Civil), bem como aos documentos particulares assinados cuja letra e assinatura, ou só assinatura, sejam consideradas verdadeiras (art. 376º Cód. Civil).

Ora, se os documentos electrónicos podem e devem considerar-se como documentos escritos, é preciso todavia examinar a questão do seu valor probatório. E é ela que o nº 2 do artigo 3º visa resolver.

Desde logo, notar-se-á que o artigo 3º se mantém neutro face à classificação dos documentos em autênticos e particulares, constante do nº 1 do art. 363º do Cód. Civil. Mas a conjugação do disposto no presente artigo com o art. 5º viabiliza a emissão de documentos electrónicos autênticos, desde que estes sejam exarados por um agente da autoridade ou oficial público revestido de competência legal para esse fim (art. 369º do Cód. Civil) e este neles aponha a sua assinatura digital. Reconhece-se, no entanto, que, no estado actual do nosso direito notarial, existem obstáculos ao preenchimento pelos documentos electrónicos de todas as formalidades legais exigidas para os actos notariais, em especial as relativas ao formalismo dos respectivos livros e à presencialidade da assinatura dos outorgantes e do funcionário (cfr. o art. 363º, 2, Cód. Civil e o arts.7º a 34º e 46º, 1, al. n, do Cód. do Notariado).

Já a exigência legal, para determinados actos ou contratos, de forma escrita de documento particular assinado (cfr. os arts. 363º e 364º do Cód. Civil) passa a ficar inequivocamente satisfeita se ela constar de documento electrónico com assinatura digital do(s) respectivo(s) outorgante(s), por força do disposto no nº 2 do artigo 3º.

Importa, todavia, ter presente que o confronto dos nºs 2 e 5 deste mesmo artigo conduz a uma distinção importante. Só o documento electrónico portador de uma assinatura digital exarada ao abrigo de um certificado de assinatura emitido por uma entidade certificadora que se ache credenciada ao abrigo do presente diploma é que gozará da força probatória prevista no art. 376º do Cód. Civil (vd. o nº 2). Já se a entidade certificadora emitente do certificado de assinatura não se achar credenciada em conformidade com a lei portuguesa (arts. 9º e segs. do presente diploma) ou não beneficiar de uma equiparação nos termos do art. 37º, embora ela esteja admitida ao exercício da actividade de certificação por força do princípio de livre acesso constante do art. 9º, o documento assinado ao abrigo desse certificado terá apenas o valor probatório que resultar da sua apreciação nos termos gerais de direito. Ou seja: não deixará de ser um documento escrito e assinado, mas não terá em princípio força probatória plena, antes será apreciado segundo o livre critério do julgador.

3.4. Por seu turno, o nº 3 do citado artigo 3º disciplina o valor probatório dos documentos electrónicos que não revistam forma escrita, submetendo-o ao regime dos arts. 368º do Cód. Civil e 167º do Cód. de Processo Penal, desde que aos documentos em causa seja aposta uma assinatura digital certificada por uma entidade credenciada nos termos deste diploma e que reuna os demais requisitos neste formulados.

3.5. O nº 4 do mesmo artigo 3º ressalva ainda um outro importante aspecto relativo à força probatória dos documentos electrónicos, permitindo que, ao abrigo da autonomia da vontade (art. 405º do Cód. Civil) seja conferido específico valor probatório a documentos desta natureza, que recebam uma assinatura ou outra forma de identificação do autor, ou de comprovação da sua integridade, em conformidade com um meio técnico eleito mediante uma convenção sobre prova ou aceite pela pessoa perante a qual se pretenda fazer valer o documento.

Em especial, poderão assim tornar-se admissíveis outras modalidades de assinatura electrónica (cfr. o art. 2º, al. b), como forma de identificar os autores dos documentos onde forem apostas, se forem assumidas através de uma convenção sobre prova. Tal tipo de convenção é, no nosso ordenamento, perfeitamente compatível com os termos do art. 345º do Cód. Civil, já que dela não parece, em princípio, poder resultar uma inversão do ónus da prova( ), nem a exclusão ou admissão de um meio de prova, ou a violação de determinações legais fundadas em razões de ordem pública ( ).

Fica, assim, explicitamente consagrada na lei a validade, p. ex., de convenções em contratos de uso de PIN para utilização de cartões bancários, ou para uso de password para acesso a certos serviços de telecomunicações, etc.

3.6. O artigo 4º do Decreto-Lei nº 290-D/99 vem clarificar o valor jurídico das cópias dos documentos electrónicos, de modo a eliminar as dúvidas que se poderiam opor a uma mera interpretação extensiva ou actualizadora das normas do art. 387º do Cód. Civil – que alude especificamente a “cópias fotográficas” – e 168º do Cód. de Processo Penal – que se refere a “reprodução mecânica” de documentos.

O regime legal aplica-se tanto às cópias que constituam documento electrónicos em sentido estrito como também às cópias consistentes em documentos informáticos.

3.7. Tem particular importância o artigo 5º do Decreto-Lei nº 290-D/99, que clarifica a viabilidade da emissão de documentos electrónicos pelos serviços e organismos públicos de qualquer natureza, designadamente para a formalização dos respectivos actos administrativos, desde que tais documentos sejam digitalmente assinados pelos agentes competentes.

Esta norma situa-se, aliás, na linha de orientação traçada já no “Livro Verde para a Sociedade da Informação em Portugal”, na “Iniciativa Nacional para o Comércio Electrónico”, aprovada pela Resolução do Conselho de Ministros nº 114/98 ( ), e, mais concretamente, na Resolução do Conselho de Ministros nº 60/98 ( ) e o art. 26º do Decreto-Lei nº 135/99, de 22.4, que vieram estabelecer o dever de as direcções-gerais, serviços equiparados e institutos públicos disponibilizarem endereços de comércio electrónico para efeito de contactos pelos cidadãos e entidades públicas e privadas e divulgá-lo de forma adequada e equipararam o valor da correspondência transmitida por essa via electrónica à trocada em suporte de papel, ressalvando apenas os efeitos que dependam de assinatura ou autenticação dos documentos, até à adopção de um diploma regulador da autenticação dos documentos electrónicos (que é, precisamente, o Decreto-Lei nº 290-D/99).

3.8. Alguns problemas específicos poderão suscitar-se no tocante à possibilidade certos tipos de documentos revestirem forma electrónica. Porventura o merecedor de mais destaque é a factura electrónica (art. 476º do Cód. Comercial), regulada pelo Decreto-Lei nº 375/99, de 18.9, cuja autonomização resulta claramente do intuito do legislador de preservar especificamente as necessidades de fiscalização da Administração Fiscal.

O art. 1º deste diploma, após permitir expressamente a transmissão por via electrónica da factura ou documento equivalente( nº 1), estabelece o princípio fundamental da equivalência das facturas electrónicas a facturas em papel, desde que àquelas seja aposta uma assinatura digital, nos termos do Decreto-Lei nº 290-D/99. Criou-se, assim, uma conexão entre o regime dos dois diplomas, com um requisito de segurança – a assinatura digital – que pode parecer excessivo face às necessidades da dinâmica comercial, mas se poderá justificar numa primeira fase de implantação do sistema de validação da factura electrónica, com o escopo de impedir fraudes.

Esta mesma perspectiva de política legislativa parece justificar três outras linhas de condicionamento da validação da factura electrónica estabelecidas no Decreto-Lei nº 375/99. Assim:

O art. 2º impõe aos sujeitos passivos fiscais que pretendam utilizar facturação electrónica o dever de solicitar autorização à Direcção-Geral dos Impostos, a qual deverá responder ao pedido num prazo de três meses, considerando-se tacitamente concedida a autorização se não houver resposta dentro desse prazo, a menos que ocorra a suspensão do prazo por solicitação de documentos ou esclarecimentos ao requerente.

A autorização caduca se, uma vez atribuída, não for iniciada pelo requerente a emissão de facturação electrónica dentro do prazo de um ano a contar da data que comunicar à DGI como sendo aquela em que tenciona iniciar essa prática.

Um outro meio de controlo resulta do art. 3º, cujo nº 1 obriga à conservação das facturas, com o seu conteúdo original acessível por ordem cronológica da sua emissão pelo emissor e da sua recepção pelo receptor nos prazos e condições fixados na legislação fiscal aplicável à conservação das facturas em suporte papel (em geral, 10 anos). Mas o nº 2 deste artigo obriga a um requisito suplementar de segurança, denunciador de uma clara hesitação na passagem à “idade informática”: exige-se a conservação em suporte papel durante os prazos referidos no número anterior de uma lista sequencial das facturas, documentos equivalentes e outras mensagens emitidas e recebidas e das correcções ou eventuais anomalias, podendo a administração fiscal fundamentadamente determinar a conservação de cópias digitais em suportes independentes. Como bem observou o Dr. M. LOPES ROCHA, «parece aqui imiscuir-se claramente o temor do legislador (e da Administração) de que as empresas mantenham uma contabilidade ad usum fisci», pretendendo a administração fiscal «ter um retrato fiel do funcionamento real do sistema, uma contraprova ao sistema “desmaterializado” que possa ser accionado em caso de dúvida». E mais: o legislador «para além desta reconstituição “em papel” permite à administração fiscal exigir, discricionariamente, uma outra reconstituição desta vez em “cópia digital” em suporte independente».

Enfim, uma derradeira linha de meios de controlo reside nos poderes de fiscalização atribuídos à DGI, em dois tipos de momentos distintos:

Por um lado, nos termos do nº 5 do art. 1º, durante o procedimento de outorga de autorização para emissão de facturação electrónica a DGI poderá realizar as verificações nos estabelecimentos e equipamentos do requerente, do prestador de serviços de câmara de compensação de mensagens ou de outra entidade que preste serviço de recepção, registo, guarda e encaminhamento de mensagens( ).

Por outro lado,o art. 4º confere à DGI o poder de, em qualquer momento, verificar nas instalações dos contribuintes, bem como nas dos prestadores dos serviços de câmara de compensção de mensagens ou nas de outras entidades que prestem serviço de recepção, registo, guarda e encaminhamento de mensagens, se o sistema cumpre os requisitos legalmente exigidos, mediante as operações técnicas necessárias para constatar a sua fiabilidade. A recusa, resistência ou obstrução a estas acções fiscalizadoras será punida com a cessação automática da autorização de utilização do sistema de facturação electrónica.

Aliás, estas normas mais não fazem do que reiterar poderes que a DGI já detém, por força do art. 76º e seguintes do CIVA. É também de ter em, conta, a este respeito, o regime do Decreto-Lei nº413/98, de 31 de Dezembro que aprova o regulamento da inspecção tributária.

3.9. O artigo 6º deste diploma resulta do reconhecimento de que, para criar condições seguras para o desenvolvimento do comércio electrónico, importa estabelecer também a disciplina legal da transmissão dos documentos electrónicos por meios de telecomunicações, ou seja, da sua comunicação telemática. Trata-se, pois, de regular a eficácia das declarações de vontade comunicadas à distância, entre sujeitos ausentes, pois é delas que essencialmente se formam os contratos e outros actos jurídicos electrónicos. O que implica uma revisão das regras legais básicas sobre o processo de formação de contratos.

Geralmente, tem sido reconhecido que os contratos formados por meios telemáticos são contratos como outros quaisquer, dotados da mesma força jurídica. Sob este aspecto, portanto, basicamente o que resulta do artigo 6º é um ganho de certeza jurídica, pois ele confirma apenas aquilo que parecia já plenamente sustentável em face do direito antecedente. Mas as normas dos diversos números deste artigo vêm também clarificar alguns aspectos de suma importância para o desenvolvimento das relações de comércio electrónico, porquanto:

Do nº 1 resulta a necessidade da convenção, expressa ou tácita, de um endereço electrónico (expressão que a al. l do art. 2º define como a «identificação de um equipamento informático adequado para receber e arquivar documentos electrónicos») do destinatário da declaração de vontade, para que esta produza o seu efeito negocial. Claro está que, na maior parte dos casos, esta convenção se fará de forma tácita, mediante o fornecimento pelo proponente do seu endereço electrónico – p. ex., do seu endereço de correio electrónico – e a resposta, pelo aceitante, confirmativa de ter recebido a proposta no seu respectivo endereço. Mas, em outros casos, a convenção será expressa, como acontecerá, p. ex., num relacionamento contratual por EDI, em que as partes deverão estabelecer os respectivos endereços electrónicos no respectivo Interchange Agreement.

Por seu lado, o nº 2 regula o valor jurídico da validação cronológica (que a al. j do art. 2º define como a «declaração de entidade certificadora que atesta a data e hora da criação, expedição ou recepção de um documento electrónico»), no tocante à comprovação da data e da hora dos factos de criação, expedição ou recepção de um documento electrónico, permitindo assim fixar com extrema precisão o momento de produção dos respectivos efeitos.

O nº 3 tem por principal escopo integrar as normas, abundantes na lei positiva e em contratos de execução continuada, que exigem ou prevêm comunicações por carta registada e por carta registada com aviso de recepção, estabelecendo que tais comunicações obedecerão a esses requisitos quando sejam feitas por meio telemático com os requisitos indicados.

3.10. Importa realçar que as disposições sobre documentos electrónicos são, na generalidade, imediatamente aplicáveis, não dependendo, portanto, da regulamentação do Decreto-Lei, a qual só se tornará indispensável para a plena exequibilidade das normas relativas à assinatura digital.

4. Entretanto, dado que a força probatória dos documentos electrónicos está relacionada com a aposição de uma assinatura digital, implica a análise do regime adoptado pelo Decreto-Lei nº 290-D/99 para este tipo de assinatura.

4.1. Como se sabe, a palavra assinatura significa, numa acepção ampla, qualquer sinal ou acto pelo qual o autor de um documento se identifica e manifesta a sua concordância com o conteúdo declarativo dele constante, isto é, o meio de autenticação pelo próprio autor do documento por ele gerado. O meio tradicional é, como se sabe, a chamada assinatura autógrafa (ou assinatura stricto sensu).

Mas a lei civil é, também aqui, tecnologicamente neutra, não referindo a que modalidade de assinatura se refere, para preenchimento desse requisito de autenticação dos documentos (cfr. o art. 373º do Cód. Civil). Assim, o que o Decreto-Lei nº 290-D/99 vem fazer, no seu artigo 7º, é tornar claro que a assinatura digital é uma forma válida de assinatura de documentos, nos termos traçados neste artigo.

Como decorre do confronto do nº 2 do artigo 1º e do confronto das alíneas b) e c) do artigo 2º deste diploma, a assinatura digital constitui uma espécie dentro do género assinatura electrónica, sendo aquela que, por ora, é acolhida legalmente no ordenamento legal português. Isto, claro está, sem embargo de outras modalidades de assinatura electrónica poderem ter relevância jurídica por via convencional, mercê do disposto no já aludido nº 4 do artigo 3º do diploma de que falamos.

A assinatura electrónica é um meio de identificação do autor de um documento electrónico, resultante de um processamento electrónico de dados. Esta designação recobre vários processos técnicos, designadamente: código secreto (p. ex., password ou PIN); assinatura digitalizada (reprodução da assinatura autógrafa do autor por uma “scanner”); assinatura digital ou criptográfica; chave biométrica (processo de identificação pessoal, com base no reconhecimento de características físicas do indivíduo por equipamento adequado).

Por seu lado, a assinatura digital é uma modalidade de assinatura electrónica consistente num “selo electrónico”(no impressivo dizer da SIG alemã) que é acrescentado a um documento e que é criado através de um sistema criptográfico assimétrico, que gera e atribui ao respectivo titular uma chave privada e uma chave pública.

Dispenso-me de descrever este processo técnico, sobre o qual existe já abundante literatura acessível. Limito-me a assinalar que, na economia do Decreto-Lei nº 290-D/99, a sua descrição resulta, fundamentalmente:

a) Das definições básicas constantes das alíneas c) (assinatura digital), d) (chave privada), e) (chave pública), h) (entidade certificadora) e i) (certificado de assinatura) do artigo 2º;

c) Dos artigos 9º a 24º, no que toca à credenciação das actividades certificadoras;

d) Dos artigos 25º a 28º, no que toca á actividade das entidades certificadoras credenciadas;

4.2. O reconhecimento jurídico da assinatura digital resulta da constatação de que este processo técnico:

a) Prova ao destinatário a identidade do subscritor do documento e, portanto, prova que o conteúdo deste é uma manifestação da vontade do seu autor;

b) Não pode ser falsificada, pois a chave privada pela qual ela é gerada só é conhecida pelo seu titular, o subscritor;

c) Não pode ser repetida em outros documentos, pois cada assinatura em concreto é formada a partir do documento ao qual é aposta e não pode ser transferida para outro documento;

d) Impede que o documento seja modificado depois de assinado, pois permite detectar qualquer alteração que nele seja introduzida .

A verificação positiva de uma assinatura digital conduz, por conseguinte, a um elevadíssimo grau de certeza jurídica da autenticidade da autoria e da integridade da mensagem ou outro tipo de documento ao qual ela seja aposta, porquanto comprova seguramente que a assinatura foi aposta pelo seu titular e o documento não foi alterado desde o seu envio ao destinatário. Ela oferece, assim, um elevado nível de segurança, satisfazendo o objectivo legal da exigência de assinatura para atribuição de valor probatório aos documentos escritos.

São estes o sentido e os fundamentos do comando contido no nº 1 do artigo 7º do Decreto-Lei nº 290-D/99, que enuncia enfaticamente o valor jurídico da assinatura digital, equiparando-o à assinatura autógrafa tradicional e enunciando o significado e os efeitos jurídicos da aposição de uma assinatura válida. Aliás, um enunciado, ao que se saiba, até agora não fora feito no nosso direito positivo para qualquer tipo de assinatura, o que desde já traduz um valor acrescentado assinalável da presente norma. Convém notar, apenas, que os aspectos focados nas alíneas a) e b) do nº 1 deste artigo são aplicáveis, v.g., à assinatura autógrafa, mas o mesmo não sucede com o constante da al. c).

O nº 1 em apreço declara, portanto, uma presunção legal – obviamente ilidível por prova do contrário – de que no documento electrónico ao qual foi aposta uma assinatura digital se verificam as três funções desta e os correspondentes efeitos práticos e jurídicos:

a) Função identificadora, pela qual a assinatura atribui inequivocamente a declaração ao signatário, estabelecendo a autoria deste, ou em seu nome próprio, ou como representante de uma pessoa colectiva;

b) Função finalizadora ou confirmadora, que não só exprime a conclusão espacial do documento escrito, mas também o assentimento do signatário quanto às declarações de vontade e/ou de conhecimento dele constantes, assumindo-as como sendo próprias dele e estando correcta e completamente expressas no texto precedente;

c) Função de inalterabilidade, já que a verificação positiva de uma assinatura digital pelo destinatário comprova que o documento ao qual ela foi aposta não foi alterado após a aposição da assinatura, até à sua recepção pelo destinatário.

4.3. Para além disso, alguns outros aspectos de grande importância são focados nos restantes números deste artigo.

O nº 2 proíbe a contitularidade de uma assinatura digital – ou seja, do respectivo certificado e do inerente par de chaves criptográficas – por duas ou mais pessoas, mas permite que seja dela titular uma pessoa colectiva. Neste caso, será de regra a definição das pessoas singulares habilitadas com poderes de representação que lhes permitam utilizar a chave privada para aposição de assinaturas digitais: tal definição poderá constar do próprio certificado da assinatura ou de um certificado complementar (cfr. o art. 25º, al.c).

O nº 3 equipara a assinatura digital a todos os outros sinais identificadores que sejam exigidos por lei ou convenção. Assim, nos documentos assinados por este meio, deixará de ser necessário o carimbo de uma sociedade, o selo branco de um serviço público, etc.

O nº 4 contém um enunciado de extrema importância, porque define a regra básica acerca da aposição de uma assinatura digital. Esta regra, pode dizer-se, polariza todos os elementos constitutivos do regime da assinatura digital, que se desenvolvem em outras normas do diploma em apreço e que são:

d) a emissão de um certificado que contenha a chave pública, por uma entidade certificadora credenciada nos termos deste diploma;

e) a validade do certificado, quer quanto à sua emissão, quer por não estar suspenso, nem revogado, nem caduco por ultrapassagem do seu prazo de validade.

O nº 5 comina a consequência jurídica da inexistência da assinatura, se esta se basear num certificado revogado, caduco ou suspenso.

4.4. O artigo 8º completa o artigo anterior e estabelece conexão com o regime do art. 29º, definindo a necessidade de obter um par de chaves criptográficas e respectivo certificado, emitido por uma entidade certificadora credenciada, para que se possam apor assinaturas digitais válidas e eficazes nos termos do presente diploma.

Os pares de chaves poderão ser criados pelas entidades certificadoras, ou com meios próprios do próprio titular ou de terceiro, devendo, neste caso, a entidade certificadora verificar a sua adequação técnica e, perante conclusão positiva, emitir o certificado de assinatura respectivo.

5. O valor probatório pleno de um documento electrónico com assinatura digital depende, face ao regime do art. 7º, nº 4, do Decreto-Lei nº 290-D/99, da emissão a favor do seu titular de um certificado de assinatura por uma entidade certificadora devidamente credenciada por um organismo da Administração Pública a definir em diploma complementar.

É nos artigos 9º e seguintes (Secção I do Capítulo III) que se contém a disciplina legal do acesso à actividade de certificação, que se pauta pelos seguintes pontos fundamentais:

5.1. Em primeiro lugar – na esteira do regime da Directiva comunitária – estabelece-se no art. 9º a liberdade de acesso à actividade de certificação e o carácter facultativo da respectiva credenciação no âmbito interno. Logo, qualquer pessoa singular ou colectiva pode exercê-la, com ou sem credenciação.

Como já dissemos, a propósito do nº 5 do artigo 3º, o requisito legal da credenciação constitui apenas um pressuposto para que os documentos electrónicos portadores de tal tipo de assinatura gozem do especial valor probatório que as disposições deste Decreto-Lei lhe conferem. E é de notar que são equiparadas às entidades certificadoras credenciadas no País as que forem reconhecidas por qualquer Estado-membro da União Europeia (art. 37º).

No entanto, os documentos portadores de assinaturas digitais baseadas em chaves criptográficas emitidas por entidades não credenciadas não são destituídos de valor probatório, embora de menor grau, pois apenas serão livremente apreciados nos termos gerais de direito.

É também livre a escolha da entidade certificadora, não podendo condicionar-se a celebração de um dado negócio jurídico à escolha de uma dessas entidades determinada (artigo 10º).

Tal como induz a Directiva comunitária, a credenciação de uma entidade certificadora não depende de autorização prévia, isto é, de um acto dependente de uma vontade discricionária da Administração Pública portuguesa, mas sim e somente da reunião de um conjunto de requisitos subjectivos e devidamente documentados (artigos 12º a 17º), os quais, se verificados, darão automaticamente origem ao deferimento da credenciação, que poderá ser tácito se não for comunicado no prazo de três meses (artigo 18º) e só poderá ser recusado com fundamento na inobservância de tais requisitos (artigo 19º).

Têm também o mesmo carácter vinculado as hipóteses legais de caducidade (artigo 20º) e de revogação (artigo 21º) da credenciação.

5.2. Esta liberdade de acesso não significa, porém, um desinteresse do legislador e da Administração pública pelo correcto exercício da actividade de certificação, em termos que legitimem a indispensável confiança por parte dos sujeitos jurídicos.

Assim, as normas contidas na Secção II do Capítulo III definem um estatuto do exercício da actividade pelas entidades certificadoras, no qual avulta um conjunto de importantes obrigações que elas deverão observar.

No artigo 25º, contém-se o elenco geral desses deveres, aos quais o artigo 26º adita aqueles que especificamente se relacionam com a recolha e utilização por aquelas entidades de dados pessoais. O artigo 27º acrescenta a advertência da responsabilidade civil em que tais entidades incorrem, insusceptível de exoneração ou limitação. E o artigo 28º completa esta matéria com normas acauteladoras das consequências da cessação da actividades das entidades certificadoras.

Acrescem, ainda, as obrigações relativas à colaboração com a actividade fiscalizadora da entidade credenciadora, impostas pelo artigo 33º e seguintes.

5.3. A certeza da titularidade da assinatura digital obtém-se através de um certificado emitido pela entidade certificadora, que é um documento electrónico, acessível em ambiente informático a qualquer interessado na sua consulta, cuja fonte oficial cria a certeza de que a pessoa que apõe uma assinatura digital é a titular da respectiva chave pública e, por conseguinte, também da respectiva chave privada.

Trata-se de um documento dotado de um especial valor probatório, cujos emissão, conteúdo e condições de validade, revogação e suspensão são detalhadamente especificados pelos artigos 29º a 32º do Decreto-Lei nº 290-D/99.

No tocante à emissão, avulta no regime do artigo 29º a preocupação em que seja cuidadosamente verificada pela entidade certificadora a identidade da pessoa a favor de quem emitir o certificado de assinatura (nº 1), bem como em que seja assegurada a inalterabilidade dos dados constantes deste (nº 3). É também enfatizado o dever de fornecimento aos titulares dos certificados das informações necessárias para uma utilização correcta e segura do sistema de assinatura digital (nº 4).

Reveste-se de extrema importância a obrigação da entidade certificadora elaborar e manter actualizado e disponível à consulta de qualquer interessado um registo ou repositório dos certificados por ela emitidos, suspensos e revogados (nº 5 do artigo 29º). É a esse registo que se deverão dirigir todas as pessoas que pretendam verificar a autenticidade de uma assinatura digital constante de um documento electrónico, emitida por um titular de um certificado, já que a chave pública que permite tal verificação é um dos elementos fulcrais da informação constante do certificado.

A esta luz, bem se compreende a importância da enumeração dos elementos mínimos que os certificados devem conter (artigo 30º), bem como as regras sobre a suspensão e revogação dos certificados, que essencialmente têm a ver com a eventual perda ou suspeita de perda de confidencialidade da chave privada (artigo 31º).

É esta eventualidade que constitui o fulcro das fundamentais obrigações do titular do certificado de assinatura e, concomitantemente, do respectivo par de chaves, enunciadas no artigo 32º do diploma em apreço: ele deve fundamentalmente tomar todas as medidas necessárias para preservar a confidencialidade da chave privada; se suspeitar da sua perda, pedir de imediato a sua suspensão e, se confirmada tal perda, a sua revogação; e, a partir de alguma destas medidas, respeitar a proibição de utilizar a chave privada para gerar assinaturas digitais.

A Resolução do Conselho de Ministros nº. 115/98, de 1 de Setembro, determinou a definição do regime jurídico aplicável aos documentos electrónicos e assinatura digital, como um dos objectivos a alcançar no âmbito da Iniciativa Nacional para o Comércio Electrónico, necessário à plena afirmação do comércio electrónico.

As redes electrónicas abertas, como a Internet, têm assumido uma importância crescente na vida quotidiana dos cidadãos e dos agentes económicos, proporcionando uma teia de relações comerciais globais. Para aproveitar da melhor forma estas oportunidades, urge criar um ambiente seguro para a autenticação electrónica. Na realidade, as comunicações e o comércio electrónicos exigem assinaturas electrónicas e serviços a elas associados que permitam a autenticação electrónica dos dados.

As assinaturas electrónicas possibilitam ao utente de dados enviados electronicamente que verifique a sua origem (autenticação), bem como se os dados foram entretanto alterados (integridade). Em matéria de assinatura electrónica, o presente diploma assenta no modelo tecnológico ora prevalecente: a assinatura digital produzida através de técnicas criptográficas. Como se depreende dos estudos disponíveis sobre tecnologias de assinaturas digitais baseadas na criptografia de chaves públicas, a assinatura digital constitui, neste momento, a técnica mais reconhecida de assinatura electrónica, apresentando o mais elevado grau de segurança para as trocas de dados em redes abertas. E é esta constatação do estado da tecnologia que tem levado as experiências legislativas estrangeiras a privilegiar esta forma de assinatura electrónica.

Contudo, e considerando que em face do constante desenvolvimento tecnológico esta solução de autenticação de dados pode ser, em pouco tempo, tecnicamente ultrapassada pela afirmação de outras formas de assinatura electrónica, o regime previsto no presente diploma poderá vir a ser aplicado a outras modalidades de assinatura electrónica que satisfaçam os requisitos de segurança da assinatura digital.

A verificação da autenticidade e da integridade dos dados, facultada pelas assinaturas electrónicas, em geral, e pela assinatura digital, em particular, não prova necessariamente a identidade do signatário que cria as assinaturas electrónicas. Assim, considera-se necessário, de acordo com a prática tecnicamente recomendada e internacionalmente consagrada, instituir um sistema de confirmação por entidades certificadoras, às quais incumbe assegurar os elevados níveis de segurança do sistema indispensáveis para a criação da desejada confiança no tocante às assinaturas de documentos electrónicos.

Neste contexto, o presente diploma, por um lado, regula o reconhecimento e o valor jurídico dos documentos electrónicos e das assinaturas digitais e, por outro lado, confia o controle da actividade de certificação de assinaturas a uma entidade a designar, e define os poderes e procedimentos desta, bem como as condições de credenciação da actividade e os direitos e os deveres das entidades certificadoras.

Esta actividade de certificação de assinaturas digitais, de harmonia com a orientação consagrada já noutros países da União Europeia não está sujeita a autorização administrativa prévia. Importa, porém, que o Estado providencie um controle das condições de idoneidade e segurança asseguradas pelas entidades certificadoras, e desse modo ofereça ao público e ao mercado a orientação e a garantia de qualidade que são indispensáveis para a confiança nos novos meios de documentação e assinatura. De harmonia com este desiderato, prevê-se um sistema voluntário de credenciação e fiscalização das entidades certificadoras pela autoridade competente.

Com este diploma dá-se, em Portugal, o primeiro passo no sentido da consagração legal das assinaturas electrónicas acolhendo-se, designadamente, as soluções avançadas no quadro da União Europeia, na proposta de Directiva do Parlamento Europeu e do Conselho, relativa a um quadro legal comunitário para as assinaturas electrónicas. A evolução tecnológica, que nesta matéria é constante, determinará a médio prazo a revisão, adaptação e aprofundamento do regime estabelecido no presente diploma.

Nos termos da alínea a) do nº. 1 do artigo 198º. da Constituição, o Governo decreta para valer como lei geral da República o seguinte:

1.O presente diploma regula a validade, eficácia e valor probatório dos documentos electrónicos e a assinatura digital.

2.O regime previsto no presente diploma pode ser tornado aplicável a outras modalidades de assinatura electrónica que satisfaçam exigências de segurança idênticas às da assinatura digital.

a) Documento electrónico: documento elaborado mediante processamento electrónico de dados;

b) Assinatura electrónica: resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico ao qual seja aposta, de modo que:

iii. A sua conexão com o documento permita detectar toda e qualquer alteração superveniente do conteúdo deste;

c) Assinatura digital: processo de assinatura electrónica baseado em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo, e ao declaratário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura;

d) Chave privada: elemento do par de chaves assimétricas destinado a ser conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital no documento electrónico, ou se decifra um documento electrónico previamente cifrado com a correspondente chave pública;

e) Chave pública: elemento do par de chaves assimétricas destinado a ser divulgado, com o qual se verifica a assinatura digital aposta no documento electrónico pelo titular do par de chaves assimétricas, ou se cifra um documento electrónico a transmitir ao titular do mesmo par de chaves;

f) Credenciação: Acto pelo qual é reconhecido a uma entidade que o solicite e que exerça actividade de entidade certificadora referida na alínea h) deste artigo o preenchimento dos requisitos definidos no presente diploma para os efeitos nele previstos;

g) Autoridade credenciadora: Entidade competente para a credenciação e fiscalização das entidades ceritificadoras;

h) Entidade certificadora: entidade ou pessoa singular ou colectiva credenciada que cria ou fornece meios para a criação das chaves, emite os certificados de assinatura, assegura a respectiva publicidade e presta outros serviços relativos a assinaturas digitais;

i) Certificado de assinatura: documento electrónico autenticado com assinatura digital e que certifique a titularidade de uma chave pública e o prazo de validade da mesma chave;

j) Validação cronológica: declaração de entidade certificadora que atesta a data e hora da criação, expedição ou recepção de um documento electrónico;

k) Endereço electrónico: identificação de um equipamento informático adequado para receber e arquivar documentos electrónicos;

1. O documento electrónico satisfaz o requisito legal de forma escrita quando o seu conteúdo seja susceptível de representação como declaração escrita.

2. Quando lhe seja aposta uma assinatura digital certificada por uma entidade credenciada e com os requisitos previstos neste diploma, o documento electrónico com o conteúdo referido no número anterior tem a força probatória de documento particular assinado, nos termos do artigo 376º do Código Civil.

3. Quando lhe seja aposta uma assinatura digital certificada por uma entidade credenciada e com os requisitos previstos neste diploma, o documento electrónico cujo conteúdo não seja susceptível de representação como declaração escrita tem a força probatória prevista no artigo 368º do Código Civil e no artigo 167º do Código de Processo Penal.

4. O disposto nos números anteriores não obsta à utilização de outro meio de comprovação da autoria e integridade de documentos electrónicos, incluindo a assinatura electrónica não conforme com os requisitos do presente diploma, desde que tal meio seja adoptado pelas partes ao abrigo de válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento.

5. O valor probatório dos documentos electrónicos aos quais não seja aposta uma assinatura digital certificada por uma entidade credenciada e com os requisitos previstos neste diploma é apreciado nos termos gerais de direito.

As cópias de documentos electrónicos, sobre idêntico ou diferente tipo de suporte, são válidas e eficazes nos termos gerais de direito e têm a força probatória atribuída às cópias fotográficas pelo nº 2 do artigo 387º do Código Civil e pelo artigo 168º do Código de Processo Penal, se forem observados os requisitos aí previstos.

1. Os organismos públicos podem emitir documentos electrónicos com assinatura digital aposta em conformidade com as normas do presente diploma.

2. Nas operações relativas à criação, emissão, arquivo, reprodução, cópia e transmissão de documentos electrónicos que formalizem actos administrativos através de sistemas informáticos, incluindo a sua transmissão por meios de telecomunicações, os dados relativos ao organismo interessado e à pessoa que tenha praticado cada acto administrativo devem ser indicados de forma a torná-los facilmente identificáveis e a comprovar a função ou cargo desempenhado pela pessoa signatária de cada documento.

1. O documento electrónico comunicado por um meio de telecomunicações considera-se enviado e recebido pelo destinatário se for transmitido para o endereço electrónico definido por acordo das partes e neste for recebido.

2. São oponíveis entre as partes e a terceiros a data e a hora da criação, da expedição ou da recepção de um documento electrónico que contenha uma validação cronológica emitida por uma entidade certificadora.

3. A comunicação do documento electrónico, assinado de acordo com os requisitos do presente diploma, por meio de telecomunicações que assegure a efectiva recepção equivale à remessa por via postal registada e, se a recepção for comprovada por mensagem de confirmação dirigida ao remetente pelo destinatário com assinatura digital e recebida pelo remetente equivale à remessa por via postal registada com aviso de recepção.

4. Os dados e documentos comunicados por meio de telecomunicações consideram-se em poder do remetente até à recepção pelo destinatário.

5. Os operadores que assegurem a comunicação de documentos electrónicos por meio de telecomunicações não podem tomar conhecimento do seu conteúdo, nem duplicá-los por qualquer meio ou ceder a terceiros qualquer informação, ainda que resumida ou por extracto, sobre a existência ou sobre o conteúdo desses documentos, salvo quando se trate de informação que, pela sua natureza ou por indicação expressa do seu remetente, se destine a ser tornada pública.

1. A aposição de uma assinatura digital a um documento electrónico ou a uma cópia deste equivale à assinatura autógrafa dos documentos com forma escrita sobre suporte de papel e cria a presunção de que:

a) a pessoa que apôs a assinatura digital é o titular desta ou é representante, com poderes bastantes, da pessoa colectiva titular da assinatura digital;

b) a assinatura digital foi aposta com a intenção de assinar o documento electrónico;

c) o documento electrónico não sofreu alteração desde que lhe foi aposta a assinatura digital, sempre que seja utilizada para verificação uma chave pública contida em certificado válido emitido por entidade certificadora credenciada nos termos deste diploma.

2. A assinatura digital deve referir-se inequivocamente a uma só pessoa singular ou colectiva e ao documento ao qual é aposta.

3. A aposição de assinatura digital substitui, para todos os efeitos legais, a aposição de selos, carimbos, marcas ou outros sinais identificadores do seu titular.

4. Para a aposição de assinatura digital deve utilizar-se uma chave privada cuja correspondente chave pública conste de certificado válido, emitido por entidade certificadora credenciada nos termos deste diploma, e que, na data da aposição da assinatura digital, não se encontre suspenso ou revogado por decisão da entidade certificadora, e cujo prazo de validade não tenha terminado.

5. A aposição de assinatura digital cuja chave pública conste de certificado que esteja revogado, caduco ou suspenso, na data da aposição ou não respeite as condições dele constantes, equivale à falta de assinatura.

Quem pretenda utilizar uma assinatura digital para os fins deste diploma deve, nos termos do nº 1 do artigo 29.º, criar ou obter a emissão de um par de chaves assimétricas, bem como obter o certificado da respectiva chave pública emitido por entidade certificadora credenciada nos termos deste diploma.

É livre o exercício da actividade de entidade certificadora referida na alínea h) do artigo 2º, sendo facultativa a solicitação da credenciação regulada nos artigos 11º e seguintes.

2. A escolha de entidade determinada não pode constituir condição de oferta ou de celebração de qualquer negócio jurídico.

A credenciação de entidades certificadoras para efeitos do presente diploma compete à entidade, a designar nos termos do artigo 40º, adiante designado autoridade credenciadora.

Será concedida a credenciação de entidades certificadoras de assinaturas digitais, mediante pedido apresentado à autoridade credenciadora, a entidades que satisfaçam os seguintes requisitos:

b) Dêem garantias de absoluta integridade e independência no exercício da actividade de certificação de assinaturas digitais;

c) Disponham de recursos técnicos e humanos que satisfaçam os padrões de segurança e de eficácia que sejam previstos na regulamentação a que se refere o artigo 38º;

d) Mantenham contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação.

1. O pedido de credenciação de entidade certificadora de assinaturas digitais será instruído com os seguintes documentos:

a) Estatutos da pessoa colectiva e, tratando-se de sociedade, contrato de sociedade ou, tratando-se de pessoa singular, a respectiva identificação e domicílio;

b) Tratando-se de sociedade, relação de todos os sócios, com especificação das respectivas participações, bem como dos membros dos órgãos de administração e de fiscalização, e, tratando-se de sociedade anónima, relação de todos os accionistas com participações significativas, directas ou indirectas;

c) Declarações subscritas por todas as pessoas singulares e colectivas referidas no nº 1 do artigo 15º de que não se encontram em nenhuma das situações indiciadoras de inidoneidade referidas no respectivo n.º 2;

d) Prova do substrato patrimonial e dos meios financeiros disponíveis, e designadamente, tratando-se de sociedade, da realização integral do capital social;

f) Descrição dos recursos materiais e técnicos disponíveis, incluindo características e localização de todos os imóveis utilizados;

i) Descrição geral das actividades exercidas nos últimos três anos ou no tempo decorrido desde a constituição, se for inferior, e balanço e contas dos exercícios correspondentes;

j) Comprovação de contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação.

2. Se à data do pedido a pessoa colectiva não estiver constituída, o pedido será instruído, em substituição do previsto na alínea a) do número anterior, com os seguintes documentos:

c) Declaração de compromisso, subscrita por todos os fundadores, de que no acto de constituição, e como condição dela, estará integralmente realizado o substrato patrimonial exigido por lei.

3. As declarações previstas na alínea c) do nº 1, poderão ser entregues em momento posterior ao pedido, nos termos e prazo que a autoridade credenciadora fixar.

4. Consideram-se como participações significativas, para os efeitos do presente diploma, as que igualem ou excedam dez por cento do capital da sociedade anónima.

1. As entidades certificadoras privadas, que sejam pessoas jurídicas, devem estar dotadas de capital social no valor mínimo de Esc. 40.000.000$00, ou, não sendo sociedades, do substrato patrimonial equivalente.

2. O substrato patrimonial, e designadamente o capital social mínimo de sociedade, encontrar-se-á sempre integralmente realizado à data da credenciação, se a pessoa colectiva estiver já constituída, ou será sempre integralmente realizado com a constituição da pessoa colectiva, se esta ocorrer posteriormente.

3. As entidades certificadoras que sejam pessoas singulares devem ter e manter durante toda a sua actividade um património, livre de quaisquer ónus, de valor equivalente ao previsto no nº 1.

1. A pessoa singular e, no caso de pessoa colectiva, os membros dos órgãos de administração e fiscalização, os empregados, comitidos e representantes das entidades certificadoras com acesso aos actos e instrumentos de certificação, os sócios da sociedade e, tratando-se de sociedade anónima, os accionistas com participações significativas serão sempre pessoas de reconhecida idoneidade.

2. Entre outras circunstâncias atendíveis, considera-se indiciador de falta de idoneidade o facto de a pessoa ter sido:

a) Condenada, no país ou no estrangeiro, por crime de furto, roubo, burla, burla informática e nas comunicações, extorsão, abuso de confiança, infidelidade, falsificação, falsas declarações, insolvência dolosa, insolvência negligente, favorecimento de credores, emissão de cheques sem provisão, abuso de cartão de garantia ou de crédito, apropriação ilegítima de bens do sector público ou cooperativo, administração danosa em unidade económica do sector público ou cooperativo, usura, suborno, corrupção, recepção não autorizada de depósitos ou outros fundos reembolsáveis, prática ilícita de actos ou operações inerentes à actividade seguradora ou dos fundos de pensões, branqueamento de capitais, abuso de informação, manipulação do mercado de valores mobiliários ou crime previsto no Código das Sociedades Comerciais;

b) Declarada, por sentença nacional ou estrangeira, falida ou insolvente ou julgada responsável por falência ou insolvência de empresa por ela dominada ou de cujos órgãos de administração ou fiscalização tenha sido membro;

c) Sujeita a sanções, no País ou no estrangeiro, pela prática de infracções às normas legais ou regulamentares que regem as actividades de produção, autenticação, registo e conservação de documentos, e designadamente as do notariado, dos registos públicos, do funcionalismo judicial, das bibliotecas públicas, e da certificação de assinaturas digitais.

4. A falta dos requisitos de idoneidade previstos no presente artigo constitui fundamento de recusa e de revogação da credenciação, nos termos da alínea c) do nº 1 do artigo 19.º e da alínea f) do nº 1 do artigo 21º.

1. Todas as entidades certificadoras terão um auditor de segurança, pessoa singular ou colectiva, o qual elaborará um relatório anual de segurança e o enviará à autoridade credenciadora, até 31 de Março de cada ano civil.

2. A designação do auditor de segurança será sujeita a aprovação prévia pela autoridade credenciadora.

O Ministro das Finanças definirá, por portaria, as características do contrato de seguro de responsabilidade civil a que se refere a alínea d) do artigo12.º.

1. A autoridade credenciadora poderá solicitar dos requerentes informações complementares e proceder, por si ou por quem para o efeito designar, às averiguações, inquirições e inspecções que entenda necessárias para a apreciação do pedido.

2. A decisão sobre o pedido de credenciação deve ser notificada aos interessados no prazo de três meses a contar da recepção do pedido ou, se for o caso, a contar da recepção das informações complementares solicitadas ou da conclusão das diligências que entenda necessárias, não podendo no entanto exceder o prazo de seis meses sobre a data da recepção daquele.

3. A falta de notificação nos prazos referidos no número anterior constitui presunção de indeferimento tácito do pedido.

4. A autoridade credenciadora poderá incluir na credenciação condições adicionais desde que necessárias para assegurar o cumprimento das disposições legais e regulamentares aplicáveis ao exercício da actividade pela entidade certificadora.

5. A emissão da credenciação será acompanhada da emissão pela autoridade credenciadora do certificado das chaves a ser usado pela entidade certificadora na emissão de certificados.

6. A decisão de credenciação será comunicada às autoridades fiscalizadoras dos Estados-Membros da União Europeia.

a) O pedido de credenciação não estiver instruído com todas as informações e documentos necessários;

c) A autoridade credenciadora não considerar demonstrado algum dos requisitos enumerados nos artigos 12.º e 15º.

2. Se o pedido estiver deficientemente instruído, a autoridade credenciadora, antes de recusar a credenciação, notificará o requerente, dando-lhe prazo razoável para suprir a deficiência.

1. A credenciação caduca se os requerentes a ela expressamente renunciarem, se não iniciarem a actividade no prazo de doze meses ou, tratando-se de pessoa colectiva esta não for constituída no prazo de seis meses.

2. A credenciação caduca ainda se a pessoa colectiva for dissolvida, sem prejuízo da prática dos actos necessários à respectiva liquidação.

1. A credenciação será revogada, sem prejuízo de outras sanções aplicáveis nos termos da lei, quando se verifique alguma das seguintes situações:

a) Se tiver sido obtida por meio de falsas declarações ou outros expedientes ilícitos;

c) Se a entidade cessar a actividade de certificação ou a reduzir para nível insignificante por período superior a doze meses;

d) Se ocorrerem irregularidades graves na administração, organização ou fiscalização interna da entidade;

e) Se no exercício da actividade de certificação ou de outra actividade social forem praticados actos ilícitos que lesem ou ponham em perigo a confiança do público na certificação;

f) Se supervenientemente se verificar alguma das circunstâncias de inidoneidade referidos no artigo 15º em relação a qualquer das pessoas a que alude o seu número 1.

2. A revogação da credenciação compete à autoridade credenciadora, em decisão fundamentada que será notificada à entidade no prazo de oito dias úteis.

3. A autoridade credenciadora dará à decisão de revogação publicidade adequada.

4. A decisão de revogação será comunicada às autoridades fiscalizadoras dos Estados-Membros da União Europeia.

1. Se por qualquer motivo deixarem de estar preenchidos os requisitos legais e estatutários do normal funcionamento dos órgãos de administração ou fiscalização, a autoridade credenciadora fixará prazo para ser regularizada a situação.

2. Não sendo regularizada a situação no prazo fixado, será revogada a credenciação nos termos do artigo anterior.

Devem ser comunicadas à autoridade credenciadora, no prazo de trinta dias, as alterações das entidades certificadoras relativas a:

c) Local da sede, salvo se a mudança ocorrer dentro do mesmo concelho ou para concelho limítrofe;

d) Substrato patrimonial ou património, desde que se trate de uma alteração significativa;

1. O registo das pessoas referidas no número 1 do artigo 15.º deve ser solicitado à autoridade credenciadora no prazo de quinze dias após assumirem qualquer das qualidades nele referidas, mediante pedido da entidade certificadora ou dos interessados, juntamente com as provas de que se encontram preenchidos os requisitos definidos no mesmo artigo, e sob pena da credenciação ser revogada.

2. Poderão a entidade certificadora ou os interessados solicitar o registo provisório, antes da assunção por estes de qualquer das qualidades referidas no número 1 do artigo 15º, devendo a conversão do registo em definitivo ser requerida no prazo de 30 dias a contar da designação, sob pena de caducidade.

3. Em caso de recondução, será esta averbada no registo, a pedido da entidade certificadora ou dos interessados.

4. O registo será recusado em caso de inidoneidade, nos termos do artigo 15.º, e a recusa será comunicada aos interessados e à entidade certificadora, a qual tomará as medidas adequadas para que aqueles cessem imediatamente funções ou deixem de estar para com a pessoa colectiva na relação prevista no mesmo artigo, seguindo-se no aplicável o disposto no artigo 22.º.

5. Sem prejuízo do que resulte de outras disposições legais aplicáveis, a falta de registo não determina por si só invalidade dos actos jurídicos praticados pela pessoa em causa no exercício das suas funções.

a) Verificar rigorosamente a identidade dos requerentes de pares de chaves e respectivos certificados e, tratando-se de representantes de pessoas colectivas, os respectivos poderes de representação, bem como, quando aplicável, as qualidades específicas a que se refere a alínea i) do nº 1 do artigo 30º;

b) Emitir os pares de chaves, ou fornecer os meios técnicos necessários para a sua criação, bem como o certificado de assinatura com rigorosa observância do disposto neste diploma e nas normas regulamentares, zelando pela correspondência funcional das duas chaves de cada par e pela exactidão das informações constantes dos certificados;

c) Especificar no certificado de assinatura ou num certificado complementar, a pedido do requerente do par de chaves, a existência dos poderes de representação ou de outros títulos relativos à actividade profissional ou a outros cargos desempenhados;

d) Informar os requerentes, de modo completo e claro, sobre o processo de certificação e sobre os requisitos técnicos necessários para ter acesso ao mesmo;

e) Cumprir as regras de segurança para tratamento de dados pessoais estabelecidas na legislação respectiva;

f) Assegurar a publicidade das chaves públicas e respectivos certificados e prestar informação sobre eles a qualquer pessoa que deseje consultá-los, por meios informáticos e de telecomunicações adequados e expeditos;

g) Abster-se de tomar conhecimento do conteúdo das chaves privadas, aceitar o seu depósito, conservá-las, reproduzi-las ou prestar quaisquer informações sobre as mesmas;

h) Proceder à publicação imediata da revogação ou suspensão dos certificados, nos casos previstos no presente diploma;

i) Conservar os certificados que emitir, por um período não inferior a vinte anos;

j) Assegurar que a data e hora da emissão, suspensão e revogação dos certificados possam ser determinadas, através de validadação cronológica.

1. As entidades certificadoras só podem coligir dados pessoais necessários ao exercício das suas actividades e obtê-los directamente das pessoas interessadas na titularidade de pares de chaves e respectivos certificados, ou de terceiros junto dos quais aquelas pessoas autorizem a sua colecta.

2. Os dados pessoais coligidos pela entidade certificadora não poderão ser utilizados para outra finalidade que não seja a de certificação, salvo se outro uso for consentido expressamente por lei ou pela pessoa interessada.

3. As entidades certificadoras e a autoridade credenciadora respeitarão as normas legais vigentes sobre a protecção, tratamento e circulação dos dados pessoais e sobre a protecção da privacidade no sector das telecomunicações.

4. As entidades certificadoras comunicarão à autoridade judiciária, sempre que esta o ordenar nos termos legalmente previstos, os dados relativos à identidade dos titulares de certificados que sejam emitidos com pseudónimo seguindo-se, no aplicável, o regime do artigo 182.º do Código de Processo Penal.

1. A entidade certificadora é responsável civilmente pelos danos sofridos pelos titulares dos certificados e quaisquer terceiros, em consequência do incumprimento culposo dos deveres decorrentes do presente diploma e sua regulamentação.

2. São nulas as convenções de exoneração e limitação da responsabilidade prevista no n.º 1.

1. No caso de pretender cessar voluntariamente a sua actividade, a entidade certificadora deve comunicar essa intenção à autoridade credenciadora e às pessoas a quem tenha emitido certificados que permaneçam em vigor, com a antecipação mínima de três meses, indicando também qual a entidade certificadora à qual transmitirá a sua documentação ou a revogação dos certificados no termo daquele prazo, devendo neste último caso colocar a sua documentação à guarda da autoridade credenciadora.

2. A entidade certificadora que se encontre em risco de decretação de falência, de processo de recuperação de empresa ou de cessação da actividade por qualquer outro motivo alheio à sua vontade, deve informar imediatamente a autoridade credenciadora.

3. No caso previsto no número anterior, se a entidade certificadora vier a cessar a sua actividade, a autoridade credenciadora promoverá a transmissão da documentação daquela para outra entidade certificadora ou, se tal transmissão for impossível, a revogação dos certificados emitidos e a conservação dos elementos de tais certificados pelo prazo em que deveria fazê-lo a entidade certificadora.

1. A entidade certificadora, a pedido de uma pessoa singular ou colectiva interessada, cuja identidade e poderes de representação, quando existam, verificará por meio legalmente idóneo e seguro, emitirá a favor daquela um par de chaves, privada e pública, ou porá à disposição dessa pessoa, se esta o solicitar, os meios técnicos necessários para que ela crie o par de chaves.

2. A entidade certificadora emitirá, a pedido do titular do par de chaves, uma ou mais vias do certificado de assinatura e do certificado complementar.

3. A entidade certificadora deve tomar medidas adequadas para impedir a falsificação ou alteração dos dados constantes dos certificados e assegurar o cumprimento das normas legais e regulamentares aplicáveis recorrendo a pessoal devidamente habilitado.

4. A entidade certificadora fornecerá aos titulares dos certificados as informações necessárias para a utilização correcta e segura das assinaturas digitais, nomeadamente as respeitantes:

c) à conveniência de os documentos aos quais foi aposta uma assinatura digital serem novamente assinados quando ocorrerem circunstâncias técnicas que o justifiquem.

5. A entidade certificadora organizará e manterá permanentemente actualizado um registo informático dos certificados emitidos, suspensos ou revogados, o qual estará acessível a qualquer pessoa para consulta, inclusivamente por meio de telecomunicações, e será protegido contra alterações não autorizadas.

1. O certificado de assinatura deve conter, pelo menos, as seguintes informações:

a) Nome ou denominação do titular da assinatura e outros elementos necessários para a sua identificação inequívoca e, quando existam poderes de representação, o nome do seu representante ou representantes habilitados, ou um pseudónimo distintivo do titular da assinatura, claramente mencionado como tal;

b) Nome e assinatura digital da entidade certificadora, bem como indicação do país onde está estabelecida;

f) Identificadores de algoritmos necessários para o uso da chave pública do titular e da chave pública da entidade certificadora;

g) Indicação de o uso do certificado ser ou não restrito a determinados tipos de utilização, bem como eventuais limites do valor das transacções para as quais o certificado é válido;

h) Limitações convencionais da responsabilidade da entidade certificadora, sem prejuízo do disposto no nº 2 do artigo 27.º;

i) Eventual referência a uma qualidade específica do titular da assinatura, em função da utilização a que o certificado estiver destinado.

2. A pedido do titular podem ser incluídas no certificado de assinatura ou em certificado complementar informações relativas a poderes de representação conferidos ao titular por terceiro, à sua qualificação profissional ou a outros atributos, mediante fornecimento da respectiva prova, ou com a menção de se tratar de informações não confirmadas.

b) Quando existam fundadas razões para crer que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade ou que a confidencialidade da chave privada foi violada.

3. A suspensão com um dos fundamentos previstos na alínea b) do número anterior será sempre motivada e comunicada prontamente ao titular, bem como imediatamente inscrita no registo do certificado, podendo ser levantada quando se verifique que tal fundamento não corresponde à realidade.

b) Quando, após suspensão do certificado, se confirme que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade, ou que a confidencialidade da chave privada foi violada;

c) Quando a entidade certificadora cesse as suas actividades sem ter transmitido a sua documentação a outra entidade certificadora;

d) Quando a autoridade credenciadora ordene a revogação do certificado por motivo legalmente fundado;

f) Quando tomar conhecimento do falecimento, interdição ou inabilitação da pessoa singular ou da extinção da pessoa colectiva.

4. A decisão de revogação do certificado com um dos fundamentos previstos nas alíneas b), c), d) e e) do n.º 3 será sempre fundamentada e comunicada ao titular, bem como imediatamente inscrita.

5. A suspensão e a revogação do certificado são oponíveis a terceiros a partir da inscrição no registo respectivo, salvo se for provado que o seu motivo já era do conhecimento do terceiro.

6. A entidade certificadora conservará as informações referentes aos certificados durante um prazo não inferior a vinte anos a contar da suspensão ou revogação de cada certificado e facultá-las-á a qualquer interessado.

7. A revogação ou suspensão do ceritificado indicará a data e hora a partir das quais produzem efeitos, não podendo essa data e hora ser anterior àquela em que essa informação for divulgada publicamente.

8. A partir da suspensão ou revogação de um certificado, ou do termo do seu prazo de validade é proibida a emissão de certificado referente ao mesmo par de chaves pela mesma ou outra entidade certificadora.

1. O titular do certificado deve tomar todas as medidas de organização e técnicas que sejam necessárias para evitar danos a terceiros e para preservar a confidencialidade de toda a informação transmitida.

2. Em caso de dúvida quanto à perda de confidencialidade da chave privada, o titular deve pedir a suspensão do certificado e, se a perda for confirmada, a sua revogação.

3. A partir da suspensão ou revogação de um certificado, ou do termo do seu prazo de validade, é proibida ao titular a utilização da respectiva chave privada para gerar uma assinatura digital.

4. Sempre que se verifiquem motivos que justifiquem a revogação ou suspensão do certificado, deve o respectivo titular efectuar, com a necessária celeridade e diligência, o correspondente pedido de suspensão ou revogação à entidade certificadora.

1. As entidades certificadoras fornecerão à autoridade credenciadora, de modo pronto e exaustivo, todas as informações que ela lhes solicite para fins de fiscalização da sua actividade, e facultar-lhe-ão para os mesmos fins a inspecção dos seus estabelecimentos e o exame local de documentos, objectos, equipamentos de hardware e software e procedimentos operacionais, no decorrer dos quais a autoridade credenciadora poderá fazer as cópias e registos que sejam necessários.

2. As entidades certificadoras comunicarão sempre à autoridade credenciadora, no mais breve prazo possível, todas as alterações relevantes que sobrevenham nos requisitos e elementos referidos nos artigos 13º e 15º.

3. Até ao último dia útil de cada semestre, as entidades certificadoras enviarão à autoridade credenciadora uma versão actualizada das relações referidas na alínea b) do nº 1 do artigo 13.º.

Os revisores oficiais de contas ao serviço das entidades certificadoras e os auditores externos que, por imposição legal, prestem às mesmas entidades serviços de auditoria devem comunicar à autoridade credenciadora as infracções graves às normas legais ou regulamentares relevantes para a fiscalização e que detectem no exercício das suas funções.

Nos recursos interpostos das decisões tomadas pela autoridade credenciadora no exercício dos seus poderes de credenciação e fiscalização, presume-se, até prova em contrário, que a suspensão da eficácia determina grave lesão do interesse público.

A autoridade credenciadora poderá solicitar às autoridades policiais e judiciárias e a quaisquer outras autoridades e serviços públicos toda a colaboração ou auxílio que julgue necessários para a credenciação e fiscalização da actividade de certificação.

1. As assinaturas digitais susceptíveis de serem verificadas por uma chave pública constante de um certificado emitido ou garantido por entidade certificadora credenciada em outro Estado membro da União Europeia, ou noutro Estado abrangido por um acordo internacional que vincule o Estado Português, serão equiparadas às assinaturas digitais certificadas nos termos do presente diploma.

2. A autoridade credenciadora divulgará, sempre que possível e pelos meios de publicidade que considerar adequados, e facultará aos interessados, a pedido, as informações de que dispuser acerca das entidades certificadoras credenciadas em Estados estrangeiros.

1. A regulamentação do presente diploma, nomeadamente no que se refere às normas de carácter técnico e de segurança constará de Decreto Regulamentar, a adoptar no prazo de 150 dias.

2. Os serviços e organismos da Administração Pública poderão emitir normas regulamentares relativas aos requisitos a que devem obedecer os documentos que recebam por via electrónica.

A autoridade credenciadora acompanhará a evolução tecnológica em matéria de assinatura electrónica, podendo propor a aplicação do regime previsto no presente diploma para a assinatura digital a outras modalidades de assinatura electrónica que satisfaçam os requisitos de segurança e fiabilidade daquela.

A autoridade pública referida no artigo 11º será designada, em diploma próprio, no prazo de 150 dias.