5️⃣ A organização tem uma app própria? Já começou a preparar-se para o impacto das carteiras digitais europeias?

CONFIDEBAT  ·  BU2 Identidade Digital & eIDAS  ·  Série: Presença Digital Juridicamente Válida

A organização tem uma app própria? Já começou a preparar-se para o impacto das carteiras digitais europeias? O Regulamento (UE) 2024/1183 define obrigações concretas para as EUDI Wallets certificadas e para as organizações que venham a aceitá-las. Este artigo percorre essas obrigações e o seu impacto prático.

A organização tem uma app própria? O que muda com a EUDI Wallet

Muitas organizações dispõem hoje de aplicações móveis ou portais web que incluem fluxos próprios de autenticação, onboarding de utilizadores ou gestão de identidade. Pedem username e password, enviam códigos por SMS, ou integram soluções de identidade de terceiros. Este modelo está prestes a ser confrontado com uma mudança estrutural.

A partir do momento em que a EUDI Wallet estiver disponível e os utilizadores começarem a adotá-la, as organizações que operem em setores e contextos abrangidos pelo Regulamento deixam de poder ignorar a questão. Nesses casos, a lei passa a impor a aceitação da Wallet como meio de autenticação. E mesmo fora dos setores obrigados, a pressão competitiva e as expectativas dos utilizadores tenderão a tornar a integração relevante para quem queira manter serviços digitais simples, seguros e interoperáveis.

O que muda concretamente para uma organização com app própria?

• Relying Party registada. A organização passa a ser uma Relying Party no sentido técnico e legal do termo. Isso implica registo obrigatório no Estado-Membro onde está estabelecida, declaração prévia dos dados que pretende solicitar aos utilizadores, e impossibilidade de solicitar dados adicionais além dos declarados no registo. A organização identifica-se perante a Wallet do utilizador antes de qualquer pedido de dados, e não o contrário.
• Protocolos abertos. Os fluxos de autenticação e onboarding existentes terão de se alinhar com os protocolos e perfis técnicos comuns adotados no ecossistema EUDI Wallet, incluindo, designadamente, OpenID for Verifiable Presentations (OpenID4VP) para apresentação de credenciais e OpenID for Verifiable Credential Issuance (OpenID4VCI) para emissão. As arquiteturas proprietárias que não suportem estes modelos de interoperabilidade terão de ser adaptadas.
• Dados mínimos. A organização não pode solicitar mais dados do que os estritamente necessários para o serviço em causa. O utilizador vê exatamente o que está a ser pedido, atributo a atributo, e pode recusar partilhar o que considere excessivo.

A questão não é apenas se a organização vai ter de se adaptar. É quando, em que contexto, e com que grau de preparação.

Enquadramento

O Regulamento (UE) 2024/1183, publicado no Jornal Oficial em 30 de abril de 2024 e em vigor desde 20 de maio de 2024, introduziu no quadro do eIDAS a Carteira Europeia de Identidade Digital, a EUDI Wallet. Cada Estado-Membro tem 24 meses, contados a partir da entrada em vigor dos atos de execução da Comissão aplicáveis, para disponibilizar pelo menos uma EUDI Wallet aos seus cidadãos, residentes e pessoas coletivas.

A EUDI Wallet não é uma aplicação como qualquer outra. Para ser reconhecida e aceite em todo o espaço europeu, tem de ser certificada por organismos acreditados e tem de cumprir um conjunto extenso de obrigações legais definidas no Artigo 5.º-A do Regulamento. Não se trata de boas práticas nem de recomendações de mercado. São requisitos de conformidade obrigatória, cujo incumprimento impede a certificação e, consequentemente, o reconhecimento transfronteiriço.

Quem fornece a EUDI Wallet: três modelos, uma obrigação

A obrigação de disponibilizar a EUDI Wallet recai sobre cada Estado-Membro, mas o Regulamento admite três formas distintas de a cumprir.

• Fornecimento direto pelo próprio Estado-Membro, que desenvolve e opera a Wallet no âmbito dos seus serviços públicos.
• Fornecimento por mandato, em que o Estado delega essa função numa entidade terceira que atua sob a sua responsabilidade, tipicamente quando não dispõe de capacidade técnica ou operacional interna para o fazer.
• Reconhecimento de Wallets privadas, desenvolvidas de forma independente por entidades privadas e reconhecidas formalmente pelo Estado-Membro como conformes.

O ponto crítico é que o reconhecimento não é uma via de exceção nem uma alternativa de menor exigência. Qualquer Wallet reconhecida fica sujeita aos mesmos requisitos de certificação e conformidade que as Wallets fornecidas diretamente pelo Estado. O que muda é o modelo de governação, não o nível de segurança nem as obrigações legais. É esta equivalência que torna o modelo de reconhecimento um instrumento de desenvolvimento do ecossistema, e não uma brecha regulatória.

1. O utilizador controla os seus dados, não o fornecedor

O ponto de partida do Artigo 5.º-A é conceptualmente claro: a EUDI Wallet tem de operar sob o controlo exclusivo do utilizador. Isto não é uma afirmação de princípio; é uma obrigação funcional concreta.

A Wallet tem de permitir que o utilizador solicite, obtenha, selecione, combine, armazene, elimine e apresente dados de identificação e atestações eletrónicas de atributos, tudo de forma transparente e rastreável pelo próprio utilizador. A seleção e combinação de atributos antes de qualquer partilha, com o utilizador a ver exatamente o que vai ser transmitido, é um requisito de conformidade, não uma funcionalidade opcional.

Os dados de identificação pessoal disponíveis na Wallet têm de representar univocamente a pessoa singular ou coletiva a que dizem respeito e estar inequivocamente associados a essa Wallet. Não pode haver ambiguidade sobre a identidade do titular.

A Wallet tem também de oferecer ao utilizador acesso a um painel de controlo com o registo das transações realizadas: a lista atualizada das entidades com quem estabeleceu ligação e os dados trocados em cada caso, a possibilidade de solicitar diretamente o apagamento de dados a qualquer entidade ao abrigo do artigo 17.º do RGPD, e a capacidade de denunciar à autoridade de proteção de dados nacional qualquer pedido de dados que considere suspeito ou ilegítimo. O utilizador tem ainda direito a exportar os seus dados, atestações e configurações, e a exercer a portabilidade dos dados.

2. Protocolos comuns e interoperabilidade

Uma EUDI Wallet certificada tem de suportar protocolos e interfaces comuns para um conjunto alargado de operações. Não pode impor formatos proprietários que criem dependência de fornecedor ou que limitem a interoperabilidade com outras Wallets ou com Relying Parties de outros Estados-Membros.

Os protocolos comuns abrangem a emissão de dados de identificação pessoal e de atestações eletrónicas de atributos, qualificadas e não qualificadas; a solicitação e validação dessas atestações por parte das Relying Parties; a apresentação seletiva de dados online e, quando aplicável, em modo offline; a autenticação e identificação de Relying Parties; a verificação da autenticidade e validade da própria Wallet; a comunicação entre duas Wallets de utilizadores distintos para partilha segura de dados; e os mecanismos de pedido de apagamento e de denúncia a autoridades de supervisão.

A Wallet tem também de exibir a Marca de Confiança da EUDI Wallet e de suportar a criação de assinaturas eletrónicas qualificadas e de selos eletrónicos qualificados através de dispositivos de criação certificados.

3. Apenas os dados necessários, e nada mais

Esta é provavelmente a obrigação com maior impacto prático para as organizações que venham a aceitar a EUDI Wallet.

O Artigo 5.º-A impõe que o quadro técnico da Wallet não permita rastrear, correlacionar ou interligar transações ou comportamentos do utilizador, após a emissão de uma atestação de atributos, salvo se este o autorizar expressamente.

A Wallet tem ainda uma obrigação de silêncio ativa: não pode fornecer aos emitentes de atestações de atributos qualquer informação sobre a utilização que o utilizador faz dessas atestações. O emitente sabe que emitiu; não sabe quando, onde ou perante quem a atestação foi apresentada.

Quando uma atestação incorpora políticas de divulgação definidas pelo emitente, conhecidas como embedded disclosure policies, a Wallet tem de informar o utilizador de que a entidade que solicita os dados tem permissão para aceder a essa atestação. O utilizador é sempre informado antes de qualquer partilha.

O mecanismo de divulgação seletiva (selective disclosure) é, assim, uma obrigação de conformidade: a Wallet tem de ser capaz de apresentar apenas os atributos estritamente necessários para cada ação e para cada entidade, sem expor o conjunto completo dos dados do utilizador. A Wallet suporta também a geração e armazenamento de pseudónimos, cifrados e armazenados localmente, para os casos em que o utilizador pretenda interagir sem revelar a sua identidade real.

4. Segurança por design e certificação obrigatória

A EUDI Wallet tem de ser fornecida ao abrigo de um regime de identificação eletrónica com nível de garantia “elevado”, o nível máximo previsto no eIDAS. O Regulamento impõe de forma explícita que a Wallet assegure segurança por design: as considerações de segurança têm de estar presentes desde a conceção da arquitetura, e não introduzidas como camada adicional posterior.

A conformidade com os requisitos do Artigo 5.º-A tem de ser certificada por organismos de avaliação da conformidade designados pelos Estados-Membros. Para os requisitos com relevância para a cibersegurança, a certificação tem de ser realizada no âmbito dos esquemas europeus de certificação adotados ao abrigo do Regulamento (UE) 2019/881, conhecido como Cybersecurity Act. A certificação tem uma validade máxima de cinco anos, com avaliação de vulnerabilidades obrigatória de dois em dois anos. Se for identificada uma vulnerabilidade e não for corrigida em tempo útil, a certificação é cancelada.

A conformidade com o RGPD não pode ser apenas declarada. O Regulamento exige que seja demonstrada, e os Estados-Membros podem adotar disposições nacionais adicionais para especificar as medidas de proteção de dados aplicáveis.

5. Gratuita para pessoas singulares, voluntária para todos

A emissão, utilização e revogação da EUDI Wallet são gratuitas para todas as pessoas singulares. Os Estados-Membros podem prever medidas proporcionais para limitar a utilização gratuita de assinaturas qualificadas a fins não profissionais, mas a Wallet em si não pode ser cobrada às pessoas singulares.

A utilização da EUDI Wallet é voluntária. O acesso a serviços públicos e privados, o acesso ao mercado de trabalho e a liberdade de exercer uma atividade económica não podem ser restringidos nem prejudicados para quem não utilize a EUDI Wallet. Têm de continuar a existir meios alternativos de identificação e autenticação.

6. Violações de segurança: notificação imediata e prazos curtos

O Artigo 5.º-E define o regime aplicável em caso de violação ou comprometimento da EUDI Wallet. O Estado-Membro que a fornece tem de suspender imediatamente a sua disponibilização e utilização sempre que uma violação afete a fiabilidade da Wallet ou de outras Wallets. Os utilizadores afetados, as Relying Parties e a Comissão têm de ser informados sem demora injustificada.

Se a violação não for corrigida no prazo de três meses após a suspensão, o Estado-Membro tem de retirar as Wallets afetadas e revogar a sua validade. A Comissão publica as alterações correspondentes na lista oficial de Wallets certificadas no Jornal Oficial. O utilizador tem também o direito de ser informado sem demora de qualquer violação de segurança que possa ter comprometido, total ou parcialmente, a sua Wallet ou o seu conteúdo.

7. Aceitação obrigatória: quem tem de aceitar a EUDI Wallet

O Artigo 5.º-F estabelece as obrigações de aceitação. Os serviços públicos que exijam identificação eletrónica têm de aceitar a EUDI Wallet. As entidades privadas dos setores regulados, com exceção das micro e pequenas empresas, que sejam obrigadas por lei ou por contrato a utilizar autenticação forte online, têm de aceitar a EUDI Wallet até 36 meses após a entrada em vigor dos atos de execução relevantes.

Os setores expressamente mencionados incluem:

• Transportes, energia, banca e serviços financeiros
• Segurança social e saúde
• Água, serviços postais e infraestrutura digital
• Educação e telecomunicações

Os fornecedores de plataformas em linha de muito grande dimensão, as VLOPs, ao abrigo do Regulamento dos Serviços Digitais, têm de aceitar e facilitar a utilização da EUDI Wallet para autenticação, a pedido voluntário do utilizador e limitada aos dados mínimos necessários para o serviço em causa.

8. Separação lógica de dados e proibição de combinação

O fornecedor da EUDI Wallet não pode recolher informações sobre a utilização da Wallet que não sejam necessárias para a prestação do serviço. Está também proibido de combinar dados de identificação ou outros dados pessoais armazenados na Wallet com dados de outros serviços que preste, ou com dados de serviços de terceiros, salvo pedido expresso do utilizador.

Os dados pessoais relativos à prestação da EUDI Wallet têm de ser mantidos logicamente separados de quaisquer outros dados detidos pelo fornecedor. Quando a Wallet é fornecida por entidades privadas ao abrigo de mandato ou reconhecimento estadual, aplicam-se, com as necessárias adaptações, as disposições relativas à separação de atividades previstas para os prestadores de serviços de confiança qualificados.

9. Acessibilidade e código aberto

A EUDI Wallet tem de ser acessível a pessoas com deficiência em igualdade de condições com os restantes utilizadores, em conformidade com a Diretiva (UE) 2019/882 relativa à acessibilidade dos produtos e serviços.

O código-fonte dos componentes de software da Wallet tem de ser disponibilizado sob licença de código aberto. O Regulamento admite exceções justificadas para componentes que não sejam instalados nos dispositivos dos utilizadores, mas o princípio de base é a transparência e a auditabilidade pública do código.

Isto significa que a confiança na Wallet não assenta apenas em certificação formal. Assenta também numa lógica de transparência, escrutínio técnico e possibilidade de verificação independente.