O regulamento eIDAS da UE é um quadro bem estabelecido a que deve recorrer quando realiza negócios na UE/EEE, especialmente quando não tem a certeza se a sua assinatura electrónica será ou não juridicamente vinculativa aos olhos dos Estados-Membros da UE/EEE.
O regulamento eIDAS, formalmente conhecido como Regulamento (UE) n.º 910/2014 relativo à “identificação electrónica e serviços de confiança para transacções electrónicas”, regula as transacções electrónicas, incluindo as assinaturas, para proporcionar uma forma segura de os utilizadores realizarem negócios online. O eIDAS alterou, em muitos aspectos, a forma como os Estados-Membros da UE/EEE fazem negócios entre si e como as empresas e os utilizadores da UE/EEE interagem entre si. O regulamento aplica-se aos Estados-Membros da UE/EEE desde 1 de julho de 2016 e, em virtude de ser um regulamento e não uma diretiva, é diretamente aplicável em toda a UE sem necessidade de transposição para a legislação nacional.
Neste artigo, abordaremos:
- Como é que o eIDAS me pode ajudar a fazer negócios?
- Os níveis das assinaturas electrónicas de acordo com o eIDAS
- Assinatura electrónica “simples” (SES)
- Assinatura electrónica avançada (AdES)
- Assinatura electrónica qualificada (AEQ)
- Selos vs Assinaturas
- Como é que o regulamento eIDAS se aplica à UE/EEE e não só?
- Em que países é aplicável o eIDAS?
- As assinaturas electrónicas são juridicamente vinculativas no meu país?
- Conformidade eIDAS na Oneflow
- Que tipos de assinaturas electrónicas oferece a Oneflow?
- Como é que as assinaturas electrónicas na Oneflow cumprem os níveis de assinatura do regulamento eIDAS?
- Qual o formato de assinatura utilizado pela Oneflow?
- O que é a Signicat e porque é que, por vezes, sou redireccionado para ela quando assino com o AdES?
- FAQs sobre os contratos assinados na Oneflow
- Posso editar os contratos assinados?
- A minha contraparte tinha assinado, mas de repente parece que o contrato voltou a não ser assinado pela contraparte. O que é que acabou de acontecer?
- Como é que verifico se o contrato que assinei com a Oneflow ainda é válido e se foi assinado de forma segura?
- Como são utilizados os selos electrónicos na Oneflow?
- Como é que me certifico de que a pessoa certa assinou o contrato?
- Posso importar contratos assinados?
Como é que o eIDAS me pode ajudar a fazer negócios?
Acreditamos firmemente no eIDAS! Consideramos que o eIDAS é a legislação de assinaturas mais moderna e abrangente atualmente existente no mundo. Embora a sua abrangência signifique naturalmente que nem todas as partes do eIDAS são aplicáveis ou necessárias para todos os tipos de empresas e organizações, o eIDAS continua a estimular o crescimento digital na UE/EEE:
- Proporcionar um quadro seguro e previsível regulado pela Comissão Europeia
- Garantir que as interacções electrónicas entre empresas sejam mais seguras, mais rápidas e mais eficientes, independentemente do Estado-Membro da UE/EEE em que se realizem
- Regulamentar as tecnologias e os processos de assinatura de documentos à distância ou de selagem de documentos, como os contratos
- Proteger as empresas contra roubo, perda, dano ou alteração de um documento
- Fomentando o desenvolvimento de ferramentas de rastreio, intercâmbio, assinatura de documentos, selagem e identificação de documentos que ajudam as empresas a reduzir custos, melhorar a experiência do cliente e aumentar a segurança
Desde que o eIDAS entrou em pleno vigor em 2016, as empresas estão a aperceber-se dos benefícios significativos do eIDAS, levando a uma necessidade crescente de ferramentas que permitam a realização de negócios por via electrónica – tais como assinaturas electrónicas e plataformas de automatização de contratos.
Os níveis das assinaturas electrónicas de acordo com o eIDAS
Assinatura electrónica “simples” (SES)
Uma assinatura electrónica “simples” é definida no eIDAS (artigo 3.º) como “dados em formato electrónico que são anexados ou logicamente associados a outros dados em formato electrónico e que são utilizados pelo signatário para assinar”.
Isto significa que algo tão simples como clicar num botão “Assinar” ou “Aceito” é considerado uma assinatura electrónica válida, ou responder “Concordo” a uma mensagem de correio electrónico. O mesmo se aplica ao desenho de uma assinatura com o rato num site ou à adição de uma imagem de uma assinatura a um documento online para indicar a aceitação ou aprovação do signatário.
Assinatura electrónica avançada (AdES)
O nível seguinte de assinatura, a assinatura electrónica avançada, é uma assinatura que cumpre requisitos adicionais de segurança e integridade.
Para ser considerada avançada, uma assinatura deve satisfazer os seguintes requisitos (artigo 26.º)
- está unicamente ligado ao signatário;
- é capaz de identificar o signatário;
- é criada utilizando dados de criação de assinaturas electrónicas que o signatário pode, com um elevado nível de confiança, utilizar sob o seu controlo exclusivo; e
- esteja ligada aos dados com ela assinados de modo a que qualquer alteração posterior dos dados seja detectável
Isto significa que, para além de ser uma assinatura electrónica, a assinatura é sempre também uma assinatura digital, na maioria das vezes criada através de uma infraestrutura de chave pública (PKI). Leia aqui para saber mais sobre a diferença entre assinatura digital e assinaturas electrónicas.
Assinatura electrónica qualificada (AEQ)
As assinaturas electrónicas qualificadas representam o nível mais elevado de assinatura electrónica e são legalmente consideradas equivalentes a uma assinatura manuscrita. Em caso de litígio, isto significa que o signatário não tem o ónus da prova, mas sim a parte contestante que tem o ónus de provar a invalidade da assinatura qualificada.
Uma assinatura electrónica qualificada é uma assinatura electrónica avançada que satisfaz adicionalmente os seguintes requisitos (artigo 3.º):
- criado por um dispositivo qualificado de criação de assinaturas;
- e baseia-se num certificado qualificado para assinaturas electrónicas;
Os dispositivos qualificados de criação de assinaturas são hardware especial de alta segurança especificamente concebido para efetuar operações criptográficas sensíveis, como a assinatura. Os certificados qualificados são certificados PKI especiais de alta segurança emitidos por um tipo especial de terceiros que foram examinados, aprovados e certificados por organismos especiais de avaliação da conformidade em conformidade com o eIDAS (secção 3).
Selos vs Assinaturas
O regulamento eIDAS não descreve apenas as assinaturas electrónicas (secção 4 do eIDAS), mas também os selos electrónicos (secção 5 do eIDAS).
O artigo 3.º define “selo electrónico” como “dados em formato electrónico, ligados ou logicamente associados a outros dados em formato electrónico para garantir a origem e a integridade destes últimos”.
O quadro jurídico e a aplicação técnica dos selos são, na maioria dos aspectos, idênticos aos das assinaturas. A principal diferença entre os dois é que as assinaturas implicam uma intenção legal por parte do signatário, o que não acontece com os selos.
Os três níveis de assinaturas, SES, AdES e QES, existem também para os selos e têm, de forma algo confusa, a mesma designação, nomeadamente Selo Electrónico Simples (SES), Selo Electrónico Avançado (AdES) e Selo Electrónico Qualificado (QuES).
Como é que o regulamento eIDAS se aplica à UE/EEE e não só?
Em que países é aplicável o eIDAS?
O eIDAS é um regulamento da UE, o que significa que é aplicável em todos os Estados-Membros da UE/EEE. Ou seja, o eIDAS é aplicável em todos os Estados-Membros da UE, bem como na Islândia, no Liechtenstein, na Noruega e no Reino Unido. Quando falamos de estados-membros da UE/EEE nesta página, referimo-nos a todos estes países.
As assinaturas electrónicas são juridicamente vinculativas no meu país?
Uma das perguntas mais frequentes dos nossos utilizadores é se as assinaturas electrónicas são juridicamente vinculativas nos países em que operam.
Em primeiro lugar, é importante compreender que, embora o regulamento eIDAS estabeleça um quadro para ajudar as empresas a efetuar transacções mais seguras em todos os países do “Mercado Único Europeu” e transfronteiriças dentro da UE/EEE, as legislações locais de cada país variam. Em muitos casos, as legislações locais têm precedência sobre os regulamentos eIDAS e, além disso, as legislações são continuamente actualizadas.
Isto significa que, a menos que consulte um advogado especializado nesta área do direito no país em que opera, tudo o que ler na Internet terá uma declaração de exoneração de responsabilidade “isto não é um conselho jurídico” para evitar litígios.
A Oneflow desenvolve, vende e implementa sistemas de gestão e automatização de contratos digitais. Nós, sendo o fornecedor de uma plataforma de automatização de contratos SaaS, tal como muitos fornecedores de assinaturas electrónicas na indústria, não estamos em qualquer posição credível para aconselhar qualquer pessoa ou empresa em questões legais.
A única coisa que podemos fazer é informá-lo sobre como a Oneflow funciona, como os diferentes níveis de assinaturas são implementados e em que pressupostos o sistema funciona. Caberá sempre a si, enquanto utilizador, garantir que utiliza o tipo de assinatura adequado ao seu tipo de documento e circunstância.
Conformidade eIDAS na Oneflow
Na Oneflow, comprometemo-nos a oferecer assinaturas electrónicas seguras, fáceis de utilizar, verificáveis de forma independente e invioláveis, em conformidade com o quadro definido pelo eIDAS.
Também queremos oferecer-lhe o tipo de assinatura que melhor satisfaz as suas necessidades e requisitos. É fácil pensar que deve utilizar sempre assinaturas electrónicas qualificadas, uma vez que é o nível mais elevado de assinatura, mas não é assim. Os níveis mais elevados de assinaturas implicam custos mais elevados e maior fricção. Por este motivo, é importante utilizar o nível de assinatura correto para o caso de utilização (Assinatura electrónica – Introdução).
Que tipos de assinaturas electrónicas oferece a Oneflow?
A Oneflow oferece assinaturas electrónicas simples (SES) e avançadas (AdES).
A assinatura simples apresenta-se sob várias formas. As diferentes formas têm diferentes níveis de segurança e fiabilidade, mas também correspondem a diferentes necessidades e exigências.
Os tipos de assinatura electrónica simples que a Oneflow oferece incluem o seguinte:
- Assinatura electrónica padrão através da qual assina com um clique de um botão através de uma ligação privada e encriptada
- Assinar com um SMS ou mensagem de texto;
- Assinar com uma assinatura manuscrita;
- Assinatura com identificação electrónica através dos nossos parceiros eID.
Para a assinatura electrónica avançada, a Oneflow conta com parceiros externos, tais como o BankID sueco e norueguês e a Signicat (ver secção abaixo). A lista de assinaturas avançadas suportadas está em constante crescimento, mas atualmente inclui
- BankID sueco
- BankID norueguês
Como é que as assinaturas electrónicas na Oneflow cumprem os níveis de assinatura do regulamento eIDAS?
A Oneflow oferece assinaturas electrónicas de nível simples (Assinatura Electrónica Simples, SES) e avançado (Assinatura Electrónica Avançada, AdES).
O nível simples não tem requisitos para além de “dados em formato electrónico que são anexados ou logicamente associados a outros dados em formato electrónico e que são utilizados pelo signatário para assinar” (artigo 3.º do eIDAS). Todas as nossas assinaturas simples fazem isto e muito mais. Também recolhemos vários pontos de dados para cada assinatura, tornando mesmo o nível simples, em muitos casos, mais seguro do que uma assinatura manuscrita tradicional.
O nível avançado impõe requisitos rigorosos à identificação do signatário e ao seu controlo sobre os meios de assinatura. Na Oneflow, isto é tratado pelos vários eIDs que podem ser utilizados para a assinatura. Também incluímos a assinatura efectiva, tal como nos é fornecida pelo fornecedor de eID, no contrato assinado, para que possa ser posteriormente verificada e validada.
Tal como descrito acima, na secção “Como é que o regulamento eIDAS se aplica à UE/EEE e não só?”, a Oneflow não oferece aconselhamento jurídico e não lhe pode dizer que tipo de assinatura necessita no seu caso específico (tipo de documento e circunstância).
Qual o formato de assinatura utilizado pela Oneflow?
O selo electrónico qualificado aplicado a todos os contratos assinados, que garante a sua integridade após a assinatura, é do tipo CAdES-A (eSignature Standards+and+specifications).
O que é a Signicat e porque é que, por vezes, sou redireccionado para ela quando assino com o AdES?
Para fornecer aos nossos clientes eIDs seguros e fiáveis e assinaturas avançadas, num vasto leque de países, a Oneflow tem uma parceria com a Signicat. A Signicat é o corretor de eID líder na UE/EEE e um Prestador de Serviços de Confiança Qualificado (QTSP).
Por conseguinte, ao assinar com eIDs, é frequentemente redireccionado para signicat.com para completar a assinatura.
FAQs sobre os contratos assinados na Oneflow
Nesta secção, seleccionámos algumas das perguntas mais frequentes dos nossos utilizadores sobre contratos assinados na aplicação Oneflow. Existem muitas mais perguntas no nosso Centro de Ajuda e, claro, se tiver uma pergunta específica, não hesite em contactar-nos.
Posso editar os contratos assinados?
Não. Quando um contrato tiver sido assinado por todos os signatários, é bloqueado por razões legais e de segurança e deixa de poder ser editado.
Se precisar de editar um contrato assinado, pode fazer uma cópia do contrato (na Oneflow, abra o contrato e seleccione a opção de cópia sob os três pontos no canto superior direito) e, em seguida, faça a alteração na cópia antes de a enviar novamente para assinatura.
Pode encontrar mais informações sobre como copiar e editar contratos assinados aqui.
A minha contraparte tinha assinado, mas de repente parece que o contrato voltou a não ser assinado pela contraparte. O que é que acabou de acontecer?
As assinaturas foram repostas, ou retiradas, porque alguém alterou o contrato.
Quando um contrato na Oneflow é assinado por todos os signatários, fica bloqueado e não podem ser feitas mais alterações a esse contrato, consulte “Posso editar contratos assinados?” acima. Até este ponto, todo o contrato pode ser alterado, desde que o utilizador tenha permissão para o fazer.
No entanto, antes de o contrato ser assinado por todos os signatários, cada versão do documento constitui uma proposta de contrato distinta. Qualquer alteração a uma proposta de contrato dá origem a uma nova proposta de contrato.
Por este motivo, quando alguns signatários, mas não todos, tiverem assinado um contrato e este for alterado, a assinatura dos signatários que assinaram o contrato será reposta, para garantir que todos assinaram a versão correcta.
Pode encontrar mais informações sobre como e porquê as assinaturas são repostas quando os contratos são alterados no nosso Centro de Ajuda.
Para ver que alterações foram efectuadas ao contrato que resultaram na reposição das assinaturas, pode verificar a Pista de auditoria do contrato. A funcionalidade Pista de auditoria recolhe e regista todas as alterações efectuadas a um contrato. Pode ver exatamente qual o evento que anulou as assinaturas no separador “Pista de auditoria” no painel superior direito do contrato.
Mais informações sobre como encontrar a pista de auditoria dos seus contratos aqui.
Como é que verifico se o contrato que assinei com a Oneflow ainda é válido e se foi assinado de forma segura?
A Oneflow fornece um PDF de verificação do contrato em todos os documentos assinados. O PDF de verificação do contrato é selado electronicamente com um Selo Electrónico Qualificado (QuES).
A verificação e o seu selo garantem a integridade do contrato assinado.
Consulte o Centro de Ajuda da Oneflow para obter detalhes sobre como verificar a integridade da verificação e do contrato.
Como são utilizados os selos electrónicos na Oneflow?
Quando o contrato é assinado por todos os signatários, a Oneflow aplica um Selo Electrónico Qualificado ao contrato para garantir a sua integridade, impedindo que seja adulterado. Se a verificação, o contrato ou qualquer um dos seus anexos forem alterados, independentemente da dimensão da alteração, o selo será quebrado e a alteração será detectada.
O selo é aplicado pelo nosso parceiro Sovos Trustweaver, que é um Prestador de Serviços de Confiança Qualificado.
O selo pode ser verificado de forma independente por qualquer serviço ou aplicação que suporte assinaturas CAdES.
Como é que me certifico de que a pessoa certa assinou o contrato?
A Oneflow oferece vários tipos de assinaturas, com diferentes níveis de segurança e garantia. Se um nível mais baixo de garantia for aceitável, então uma simples assinatura electrónica através de um e-mail verificado pode ser suficiente. Em alternativa, pode utilizar a autenticação multi-fator por SMS.
Se for necessário um nível de garantia mais elevado, devem ser utilizadas as ID electrónicas. O nível de garantia efetivo depende da identificação electrónica utilizada (eIDAS Levels of Assurance (LoA)).
Se ainda não a activou, temos um guia sobre como ativar a assinatura com eID nos países suportados aqui.
Posso importar contratos assinados?
Claro que sim. Pode importar contratos assinados na Oneflow utilizando a nossa função de importação. Inicie sessão na Oneflow, aceda a “Contratos” no menu da esquerda. Em seguida, clique em “Importar contratos assinados” no canto superior direito. Pode ler mais sobre como importar contratos para a Oneflow neste guia.
Pergunte-nos qualquer coisa sobre contratos verdadeiramente digitais
Quer saber mais sobre contratos digitais ou sobre o futuro da gestão de contratos? Gostaríamos de ouvir a sua opinião.