Desenvolve o sistema de autenticação eletrónica dos cidadãos «Chave Móvel Digital»

destaques dr

 

Publicação: Diário da República n.º 213/2021, Série I de 2021-11-03, páginas 6 - 14

Emissor: Presidência do Conselho de Ministros

Entidade Proponente: Modernização do Estado e da Administração Pública

Data de Publicação: 2021-11-03

ELI: https://data.dre.pt/eli/dec-lei/88/2021/11/03/p/dre

Versão pdf: Descarregar

 

TEXTO

Decreto-Lei n.º 88/2021, de 3 de novembro

Sumário: Desenvolve o sistema de autenticação eletrónica dos cidadãos «Chave Móvel Digital».

O Programa do XXII Governo Constitucional assume que o Estado deve ocupar um papel central no desenvolvimento socioeconómico do País, estimulando as oportunidades da sociedade digital para melhor servir as pessoas e as empresas.

A transformação digital da Administração Pública assume um papel central, através do uso das tecnologias de informação em todos os organismos públicos, assegurando a reconversão e simplificação de processos de modo a disponibilizar serviços digitais que permitam simplificar e agilizar as interações de cidadãos e empresas com a Administração.

Neste âmbito, uma das medidas previstas é o incentivo ao uso de um meio de autenticação de acesso universal, através da Chave Móvel Digital (CMD) associada a mecanismos de reutilização de dados sobre o cidadão já na posse do Estado.

A CMD, para além de ser um meio de autenticação através da associação de um número de telemóvel ao número de identificação civil para um cidadão português e o número de passaporte para um cidadão estrangeiro, permite também que o cidadão, português ou estrangeiro, possa assinar, eletronicamente e de forma segura, documentos digitais, assegurando o cumprimento de todos requisitos previstos no Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.

Regista-se, ainda, um alargamento progressivo do uso deste meio de identificação digital ao setor privado, nomeadamente ao nível da Banca, fornecedores de energia, operadores de telecomunicações, plataformas de compras públicas, entre outros serviços de utilização corrente por cidadãos e empresas.

A pandemia da doença COVID-19, alterando a forma como a Administração Pública trabalha, acelerou ainda mais a disponibilização de serviços online, o que torna premente desenvolver e implementar meios remotos e alternativos seguros, que permitam incentivar a obtenção e utilização da CMD, enquanto meio de identificação eletrónica que já detém o mais alto nível de garantia e segurança - o elevado - constante da lista publicada pela Comissão Europeia, nos termos do artigo 9.º do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.

Importa, agora, concretizar a medida prevista no programa Simplex 2019 de «simplificar o processo de autenticação com Chave Móvel Digital (CMD)» e que tem por objetivo facilitar a obtenção e utilização da CMD por dispositivo móvel recorrendo a uma aplicação móvel e a biometria.

Neste sentido, o procedimento de obtenção passa a poder ser realizado através da recolha das imagens do rosto em tempo real e a comparação dessas com a imagem facial constante do cartão de cidadão de forma automatizada com recurso a software com capacidade de deteção de vida. Para assegurar o desenvolvimento evolutivo do sistema é prevista a possibilidade de, com prévia autorização do cidadão, armazenamento da imagem do cartão de cidadão pelo período máximo de 10 dias.

É também expressamente prevista a possibilidade de o código numérico de utilização única e temporária ser substituído pela utilização das funcionalidades de identificação segura biométrica do dispositivo móvel do cidadão.

Por fim, de modo a ampliar as formas de adesão à distância, foi ainda contemplada a possibilidade de adesão à CMD, mediante prévia confirmação de identidade, por videoconferência.

Foi ouvida a Comissão Nacional de Proteção de Dados.

Assim:

No uso da autorização legislativa concedida pelo artigo 239.º da Lei n.º 75-B/2020, de 31 de dezembro, na sua redação atual, e nos termos da alínea b) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:

Artigo 1.º

Objeto

O presente decreto-lei procede à quarta alteração à Lei n.º 37/2014, de 26 de junho, alterada pelas Leis n.º 32/2017, de 1 de junho, 71/2018, de 31 de dezembro, e 2/2020, de 31 de março, que estabelece um sistema alternativo e voluntário de autenticação dos cidadãos nos portais e sítios na Internet denominado Chave Móvel Digital.

Artigo 2.º

Alteração à Lei n.º 37/2014, de 26 de junho

Os artigos 1.º a 4.º da Lei n.º 37/2014, de 26 de junho, na sua redação atual, passam a ter a seguinte redação:

«Artigo 1.º

[...]

A presente lei cria a «Chave Móvel Digital» (CMD) como meio alternativo e voluntário:

a) De autenticação dos cidadãos em sistemas eletrónicos e sítios na Internet;

b) De assinatura eletrónica qualificada, nos termos previstos no Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, e do Decreto-Lei n.º 12/2021, de 9 de fevereiro.

Artigo 2.º

[...]

1 - ...

2 - ...

3 - ...

4 - A CMD é um sistema multifatorial para autenticação segura em sistemas eletrónicos e sítios na Internet utilizando, por cada sessão de autenticação, uma palavra-chave permanente, escolhida e alterável pelo cidadão, e:

a) Um código numérico de utilização única e temporária; ou,

b) Funcionalidades de identificação segura biométrica do dispositivo móvel do cidadão.

5 - Na opção prevista na alínea a) do número anterior, o código é gerado automaticamente após a introdução da identificação do cidadão e da palavra-chave a ela associada, sendo enviado nos termos da portaria prevista no n.º 14.

6 - ...

a) ...

b) ...

c) ...

d) ...

e) Solicitar, por via eletrónica, a associação prevista no n.º 1 e escolher a sua palavra-chave permanente, mediante prévia verificação eletrónica da autenticidade do seu cartão de cidadão e dos dados nele inscritos e confirmação de identidade através do recurso a sistema biométrico de comparação das imagens do rosto recolhidas eletronicamente em tempo real, com a imagem facial constante do cartão do cidadão e a do sistema de informação responsável pelo ciclo de vida do cartão de cidadão, de acordo com os procedimentos de identificação à distância com recurso a sistemas biométricos automáticos de reconhecimento facial definidos pela entidade supervisora de serviços de confiança;

f) Solicitar, por videoconferência, nos termos a definir na portaria prevista no n.º 14, a associação prevista no n.º 1 e escolher a sua palavra-chave permanente, mediante prévia confirmação de identidade, de acordo com os procedimentos de identificação à distância com recurso a videoconferência definidos pela entidade supervisora de serviços de confiança.

7 - ...

8 - A AMA, I. P., é a entidade responsável pelo tratamento de dados pessoais e pela gestão e segurança da infraestrutura tecnológica que suporta a CMD, nomeadamente o sistema de geração e envio dos códigos numéricos de utilização única e temporária.

9 - Aplicam-se à CMD todas as garantias em matéria de proteção de dados pessoais previstas na Lei n.º 58/2019, de 8 de agosto, e no Regulamento (UE) 2016/679, do Parlamento e do Conselho, de 27 de abril de 2016, não sendo permitido o rastreamento nem o registo integral das interações entre os cidadãos e a Administração Pública ou outras entidades, processadas através da CMD.

10 - (Revogado.)

11 - A CMD pode ser utilizada como meio de autenticação segura em sistemas eletrónicos e sítios na Internet, mediante acordo celebrado com a AMA, I. P.

12 - A autenticação através de CMD depende de autorização expressa do cidadão.

13 - Com a CMD pode ser emitido um certificado qualificado para assinatura eletrónica qualificada em conformidade com o disposto no Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, e do Decreto-Lei n.º 12/2021, de 9 de fevereiro, a solicitar pelo cidadão com idade igual ou superior a 16 anos desde que não se encontre sujeito a medidas de acompanhamento previstas no Código Civil.

14 - Por portaria do membro do Governo responsável pela área da modernização administrativa procede-se à regulamentação necessária para o desenvolvimento e segurança da infraestrutura da CMD.

15 - A portaria referida no número anterior define, ainda, o modelo de sustentabilidade da CMD, designadamente em relação aos custos com o envio dos Short Message Service (SMS).

16 - Podem ser estabelecidas outras formas de obtenção da CMD, mediante acordo celebrado com a AMA, I. P., com homologação do membro do Governo responsável pela área da modernização administrativa ou nos termos a definir na portaria a que se refere o n.º 14.

17 - A recolha das imagens do rosto em tempo real a que se refere a alínea e) do n.º 6 e a comparação dessas imagens com a imagem facial constante do cartão do cidadão e a do sistema de informação responsável pelo ciclo de vida do cartão de cidadão, disponibilizada pelo Instituto dos Registos e do Notariado, I. P., é realizada mediante consentimento prévio do cidadão, enquanto titular dos dados, e de forma automatizada, com recurso a software com capacidade de deteção de vida.

18 - Sem prejuízo do número seguinte, as imagens do rosto recolhidas em tempo real a que se refere a alínea e) do n.º 6, são eliminadas após a conclusão do procedimento de obtenção da CMD.

19 - Para efeitos de desenvolvimento evolutivo da CMD, é permitido à AMA, I. P., mediante consentimento prévio do cidadão, a recolha da imagem da frente e do verso do cartão de cidadão disponibilizada para efeitos do procedimento de registo previsto na alínea e) do n.º 6 e o seu armazenamento e tratamento pelo período de 10 dias, garantindo que os dados armazenados são cifrados e não ficam associados ao cidadão, nos termos da política de retenção de dados da AMA, I. P.

Artigo 3.º

[...]

1 - O cidadão detentor de CMD pode autenticar-se em sistemas eletrónicos e sítios na Internet, mediante:

a) Introdução da sua identificação ou número de telemóvel; e

b) Introdução da sua palavra-chave permanente; e

c) Introdução do código numérico de utilização única e temporária, automaticamente gerado, que receba do sistema; ou

d) Utilização das funcionalidades de identificação segura biométrica do dispositivo móvel do cidadão.

2 - ...

3 - ...

4 - ...

5 - ...

Artigo 3.º-A

[...]

1 - O cidadão com idade igual ou superior a 16 anos detentor de CMD com certificado eletrónico qualificado para assinatura eletrónica qualificada emitido nos termos do n.º 13 do artigo 2.º pode assinar documentos eletrónicos através de aposição de uma assinatura eletrónica qualificada, mediante:

a) Introdução da sua identificação ou número de telemóvel; e

b) Introdução da sua palavra-chave permanente; e

c) Introdução do código numérico de utilização única e temporária, automaticamente gerado, que receba do sistema por SMS ou aplicação dedicada instalada no seu telemóvel; ou

d) Utilização das funcionalidades de identificação segura biométrica do dispositivo móvel do cidadão.

2 - ...

3 - ...

4 - O cidadão com idade igual ou superior a 16 anos, detentor de CMD sem certificado qualificado de assinatura eletrónica qualificada, pode solicitar nova CMD com emissão de tal certificado, pelos meios previstos nas alíneas a), b), d), e) e f) do n.º 6 do artigo 2.º

Artigo 4.º

[...]

1 - Os atos praticados por um cidadão ou agente económico nos sítios na Internet presumem-se ser da sua autoria, dispensando-se a sua assinatura sempre que sejam utilizados meios de autenticação segura para o efeito.

2 - ...

3 - ...»

Artigo 3.º

Norma revogatória

É revogado o n.º 10 do artigo 2.º da Lei n.º 37/2014, de 26 de junho, na sua redação atual.

Artigo 4.º

Republicação

É republicada em anexo ao presente decreto-lei e do qual faz parte integrante, a Lei n.º 37/2014, de 26 de junho, com a redação introduzida pelo presente decreto-lei.

Artigo 5.º

Entrada em vigor

O presente decreto-lei entra em vigor no primeiro dia do mês seguinte ao da sua publicação.

Visto e aprovado em Conselho de Ministros de 16 de setembro de 2021. - António Luís Santos da Costa - Mariana Guimarães Vieira da Silva - Francisca Eugénia da Silva Dias Van Dunem - Alexandra Ludomila Ribeiro Fernandes Leitão.

Promulgado em 19 de outubro de 2021.

Publique-se.

O Presidente da República, Marcelo Rebelo de Sousa.

Referendado em 29 de outubro de 2021.

O Primeiro-Ministro, António Luís Santos da Costa.

ANEXO

(a que se refere o artigo 4.º)

Republicação da Lei n.º 37/2014, de 26 de junho

Artigo 1.º

Objeto

A presente lei cria a «Chave Móvel Digital» (CMD) como meio alternativo e voluntário:

a) De autenticação dos cidadãos em sistemas eletrónicos e sítios na Internet;

b) De assinatura eletrónica qualificada, nos termos previstos no Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, e do Decreto-Lei n.º 12/2021, de 9 de fevereiro.

Artigo 2.º

Chave Móvel Digital

1 - A todo o cidadão é permitida a associação do seu número de identificação civil a um único número de telemóvel, podendo também associar o seu endereço de correio eletrónico.

2 - No caso de cidadão estrangeiro que não tenha número de identificação civil, a associação referida no número anterior é efetuada através do número de identificação fiscal constante dos títulos de residência ou de outros documentos previstos na Lei n.º 23/2007, de 4 de julho, dos cartões de residência concedidos nos termos da Lei n.º 37/2006, de 9 de agosto, ou do respetivo número de passaporte.

3 - A associação prevista nos números anteriores serve apenas para a obtenção da CMD como mecanismo voluntário e alternativo de autenticação perante serviços públicos prestados de forma digital para todo o utilizador, nacional ou não nacional, não podendo ser os dados assim obtidos utilizados para qualquer outro fim.

4 - A CMD é um sistema multifatorial para autenticação segura em sistemas eletrónicos e sítios na Internet utilizando, por cada sessão de autenticação, uma palavra-chave permanente, escolhida e alterável pelo cidadão, e:

a) Um código numérico de utilização única e temporária; ou,

b) Funcionalidades de identificação segura biométrica do dispositivo móvel do cidadão.

5 - Na opção prevista na alínea a) do número anterior, o código é gerado automaticamente após a introdução da identificação do cidadão e da palavra-chave a ela associada, sendo enviado nos termos da portaria prevista no n.º 14.

6 - Para obter a CMD, o utente pode:

a) Solicitar o seu registo após a entrega do cartão de cidadão ou do título, cartão ou certificado de residência;

b) Solicitar, por via eletrónica, a associação acima prevista e escolher a sua palavra-chave permanente, mediante autenticação eletrónica, através do certificado digital constante do seu cartão de cidadão ou de outro meio de identificação eletrónica validamente reconhecido em Estados membros da União Europeia;

c) Solicitar, por via eletrónica, a associação acima prevista e escolher a sua palavra-chave permanente, mediante prévia confirmação de identidade, através do envio de carta para a morada do titular do cartão de cidadão;

d) Dirigir-se a uma Loja do Cidadão, a uma conservatória do registo civil, a outros serviços da Administração Pública que celebrem um protocolo com a Agência para a Modernização Administrativa, I. P. (AMA, I. P.), para este efeito, ou a outras entidades que hajam celebrado um protocolo com o Instituto dos Registos e do Notariado, I. P., para a receção dos pedidos de emissão, renovação e cancelamento do cartão de cidadão, e aí, após confirmação de identidade por conferência com o documento de identificação civil ou passaporte de que for titular, obter a associação acima prevista e escolher a sua palavra-chave permanente;

e) Solicitar, por via eletrónica, a associação prevista no n.º 1 e escolher a sua palavra-chave permanente, mediante prévia verificação eletrónica da autenticidade do seu cartão de cidadão e dos dados nele inscritos e confirmação de identidade através do recurso a sistema biométrico de comparação das imagens do rosto recolhidas eletronicamente em tempo real, com a imagem facial constante do cartão do cidadão e a do sistema de informação responsável pelo ciclo de vida do cartão de cidadão, de acordo com os procedimentos de identificação à distância com recurso a sistemas biométricos automáticos de reconhecimento facial definidos pela entidade supervisora de serviços de confiança;

f) Solicitar, por videoconferência, nos termos a definir na portaria prevista no n.º 14, a associação prevista no n.º 1 e escolher a sua palavra-chave permanente, mediante prévia confirmação de identidade, de acordo com os procedimentos de identificação à distância com recurso a videoconferência definidos pela entidade supervisora de serviços de confiança.

7 - Todo o cidadão, nacional ou estrangeiro, que pretenda obter uma CMD e não esteja presente em território nacional pode apresentar-se junto dos serviços consulares portugueses para os efeitos previstos na alínea d) do número anterior, nos termos de protocolo a celebrar com a AMA, I. P.

8 - A AMA, I. P., é a entidade responsável pelo tratamento de dados pessoais e pela gestão e segurança da infraestrutura tecnológica que suporta a CMD, nomeadamente o sistema de geração e envio dos códigos numéricos de utilização única e temporária.

9 - Aplicam-se à CMD todas as garantias em matéria de proteção de dados pessoais previstas na Lei n.º 58/2019, de 8 de agosto, e no Regulamento (UE) 2016/679, do Parlamento e do Conselho, de 27 de abril de 2016, não sendo permitido o rastreamento nem o registo integral das interações entre os cidadãos e a Administração Pública ou outras entidades, processadas através da CMD.

10 - (Revogado.)

11 - A CMD pode ser utilizada como meio de autenticação segura em sistemas eletrónicos e sítios na Internet, mediante acordo celebrado com a AMA, I. P.

12 - A autenticação através de CMD depende de autorização expressa do cidadão.

13 - Com a CMD pode ser emitido um certificado qualificado para assinatura eletrónica qualificada em conformidade com o disposto no Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, e do Decreto-Lei n.º 12/2021, de 9 de fevereiro, a solicitar pelo cidadão com idade igual ou superior a 16 anos desde que não se encontre sujeito a medidas de acompanhamento previstas no Código Civil.

14 - Por portaria do membro do Governo responsável pela área da modernização administrativa procede-se à regulamentação necessária para o desenvolvimento e segurança da infraestrutura da CMD.

15 - A portaria referida no número anterior define, ainda, o modelo de sustentabilidade da CMD, designadamente em relação aos custos com o envio dos Short Message Service (SMS).

16 - Podem ser estabelecidas outras formas de obtenção da CMD, mediante acordo celebrado com a AMA, I. P., com homologação do membro do Governo responsável pela área da modernização administrativa ou nos termos a definir na portaria a que se refere o n.º 14.

17 - A recolha das imagens do rosto em tempo real a que se refere a alínea e) do n.º 6 e a comparação dessas imagens com a imagem facial constante do cartão do cidadão e a do sistema de informação responsável pelo ciclo de vida do cartão de cidadão, disponibilizada pelo Instituto dos Registos e do Notariado, I. P., é realizada mediante consentimento prévio do cidadão, enquanto titular dos dados, e de forma automatizada, com recurso a software com capacidade de deteção de vida.

18 - Sem prejuízo do número seguinte, as imagens do rosto recolhidas em tempo real a que se refere a alínea e) do n.º 6, são eliminadas após a conclusão do procedimento de obtenção da CMD.

19 - Para efeitos de desenvolvimento evolutivo da CMD, é permitido à AMA, I. P., mediante consentimento prévio do cidadão, a recolha da imagem da frente e do verso do cartão de cidadão disponibilizada para efeitos do procedimento de registo previsto na alínea e) do n.º 6 e o seu armazenamento e tratamento pelo período de 10 dias, garantindo que os dados armazenados são cifrados e não ficam associados ao cidadão, nos termos da política de retenção de dados da AMA, I. P.

Artigo 3.º

Autenticação através de Chave Móvel Digital

1 - O cidadão detentor de CMD pode autenticar-se em sistemas eletrónicos e sítios na Internet, mediante:

a) Introdução da sua identificação ou número de telemóvel; e

b) Introdução da sua palavra-chave permanente; e

c) Introdução do código numérico de utilização única e temporária, automaticamente gerado, que receba do sistema; ou

d) Utilização das funcionalidades de identificação segura biométrica do dispositivo móvel do cidadão.

2 - No caso de ter associado um número de telemóvel e um endereço de correio eletrónico, o cidadão pode escolher em cada autenticação por qual dos meios pretende receber o código numérico único e temporário.

3 - O cidadão é responsável pela utilização segura da sua palavra-chave, bem como do telemóvel e endereço de correio eletrónico associados.

4 - Na portaria referida no n.º 14 do artigo anterior são previstos meios simples, expeditos e seguros, que permitam ao cidadão revogar ou alterar a associação do número de telemóvel e endereço de correio eletrónico ao seu número de identificação civil, devendo as regras de segurança da utilização da CMD ser adequadamente divulgadas junto dos utilizadores.

5 - Pode ser associado um certificado digital à CMD, em moldes a definir por diploma próprio.

Artigo 3.º-A

Assinatura através de Chave Móvel Digital

1 - O cidadão com idade igual ou superior a 16 anos detentor de CMD com certificado eletrónico qualificado para assinatura eletrónica qualificada emitido nos termos do n.º 13 do artigo 2.º pode assinar documentos eletrónicos através de aposição de uma assinatura eletrónica qualificada, mediante:

a) Introdução da sua identificação ou número de telemóvel; e

b) Introdução da sua palavra-chave permanente; e

c) Introdução do código numérico de utilização única e temporária, automaticamente gerado, que receba do sistema por SMS ou aplicação dedicada instalada no seu telemóvel; ou

d) Utilização das funcionalidades de identificação segura biométrica do dispositivo móvel do cidadão.

2 - A pedido do titular pode ser invocada a sua qualidade profissional, nos termos previstos no artigo 18.º-A da Lei n.º 7/2007, de 5 de fevereiro, na sua redação atual.

3 - O cidadão é responsável pela utilização segura da sua palavra-chave e do telemóvel associado.

4 - O cidadão com idade igual ou superior a 16 anos, detentor de CMD sem certificado qualificado de assinatura eletrónica qualificada, pode solicitar nova CMD com emissão de tal certificado, pelos meios previstos nas alíneas a), b), d), e) e f) do n.º 6 do artigo 2.º

Artigo 4.º

Presunção de autoria

1 - Os atos praticados por um cidadão ou agente económico nos sítios na Internet presumem-se ser da sua autoria, dispensando-se a sua assinatura sempre que sejam utilizados meios de autenticação segura para o efeito.

2 - Para efeitos do número anterior, consideram-se meios de autenticação segura:

a) (Revogada.)

b) O uso de certificado digital, designadamente o constante do cartão de cidadão;

c) A utilização da CMD.

3 - A presunção referida no n.º 1 é ilidível nos termos gerais de direito.

Artigo 4.º-A

Acesso a dados pessoais

1 - Os cidadãos titulares de CMD, e por ela devidamente autenticados, podem ter acesso aos dados constantes dos seus documentos de identificação ou emitidos por entidades públicas, através de aplicação móvel disponibilizada pela Agência para a Modernização Administrativa, I. P.

2 - Os cidadãos titulares de cartão de cidadão ou CMD podem, através de autenticação segura, obter dados constantes das bases de dados de organismos da Administração Pública a disponibilizar no autenticação.gov.

3 - A disponibilização ou acesso dos dados pessoais nos termos dos números anteriores por entidades públicas constitui um direito do titular para permitir o exercício do direito de portabilidade previsto no artigo 20.º do Regulamento Geral de Proteção de Dados.

4 - A apresentação dos dados em tempo real perante terceiros através da aplicação prevista no n.º 1 tem um valor jurídico equivalente ao dos documentos originais, desde que aqueles terceiros disponham, no local, dos meios eletrónicos necessários à sua verificação.

Artigo 5.º

Regulamentação

A portaria prevista no n.º 14 do artigo 2.º deve ser aprovada no prazo de 60 dias a contar da entrada em vigor da presente lei.

Artigo 6.º

Produção de efeitos

Os artigos 2.º e 3.º produzem efeitos com a entrada em vigor da portaria prevista no artigo anterior.

 

 

Conteúdo Relacionado:

NEWSLETTER JURÍDICA HPJ - Receba os nossos destaques!