O ecossistema regulatório europeu e nacional que enquadra a identidade digital empresarial, as obrigações das organizações e os prazos de conformidade que se aproximam.
O Regulamento eIDAS 2.0 constitui o principal instrumento regulatório que enquadra a Carteira Digital da Empresa no espaço europeu. Entrou em vigor em 20 de maio de 2024 e estabelece o quadro jurídico para a Identidade Digital Europeia, obrigando todos os Estados-Membros a disponibilizarem carteiras digitais de identidade certificadas aos seus cidadãos e empresas.
O regulamento define que, até novembro de 2026, todos os Estados-Membros devem oferecer carteiras digitais de identidade certificadas. Portugal antecipou esta obrigação, tornando-se em 26 de janeiro de 2026 o primeiro país da União Europeia a disponibilizar a Carteira Digital da Empresa alinhada com os requisitos do eIDAS 2.0.
A partir de novembro de 2027, determinados setores regulados passam a estar obrigados a aceitar a Carteira Digital como meio de verificação de identidade. Esta obrigatoriedade abrange bancos, instituições de crédito, instituições de moeda eletrónica, prestadores de serviços de pagamento, setores da saúde, energia e telecomunicações. As plataformas digitais de grande dimensão, nos termos do Digital Services Act, também deverão suportar o acesso através da carteira digital.
A Comissão Europeia estima que a implementação da European Business Wallet a nível europeu poderá representar uma poupança de cinco mil milhões de euros até 2029, através da redução de custos de verificação de identidade, simplificação de processos administrativos e eliminação de redundâncias documentais nas operações transfronteiriças.
20 de maio de 2024
Novembro de 2026 — disponibilização de carteiras digitais
Novembro de 2027 — setores regulados devem aceitar a Carteira
€5 mil milhões até 2029
O Registo Central do Beneficiário Efetivo (RCBE) é um dos documentos disponíveis na primeira fase da Carteira Digital da Empresa e constitui uma obrigação legal para todas as entidades sujeitas ao registo. A Lei n.º 89/2017, no contexto das medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo (Lei n.º 83/2017), estabelece o regime jurídico do RCBE e define as obrigações declarativas das organizações.
As organizações estão obrigadas a declarar e a manter atualizada a informação relativa aos seus beneficiários efetivos. Qualquer alteração nos dados declarados deve ser comunicada no prazo de 30 dias a contar da data do facto que originou a alteração. Adicionalmente, é obrigatória a confirmação anual da informação constante do RCBE até ao dia 31 de dezembro de cada ano.
O incumprimento das obrigações do RCBE pode resultar em consequências graves para a organização, incluindo a irregularidade da situação tributária, o impedimento de participação em procedimentos de contratação pública, o bloqueio de processos de licenciamento e a aplicação de sanções administrativas, incluindo coimas.
Com a integração do RCBE na Carteira Digital da Empresa, as organizações passam a dispor de um mecanismo digital de verificação e partilha da informação registada, com valor oficial e validação em tempo real através de código QR. Esta integração reforça a importância de manter o registo permanentemente atualizado e em conformidade.
30 dias após qualquer alteração nos dados declarados
Obrigatória até 31 de dezembro de cada ano
Mais de 1,5 milhões de entidades em Portugal
O Sistema de Certificação de Atributos Profissionais (SCAP) é o mecanismo que permite a certificação eletrónica dos atributos empresariais dos representantes legais das organizações, nomeadamente administradores, gerentes e diretores. O SCAP constitui a base técnica que permite o acesso à Carteira Digital da Empresa através da Chave Móvel Digital.
A Portaria n.º 6-C/2025/1, de 6 de janeiro de 2025, introduziu a segunda alteração ao SCAP, estabelecendo a atribuição automática de atributos empresariais. Esta alteração representa uma simplificação significativa, uma vez que os poderes de representação passam a ser atribuídos automaticamente com base nos registos oficiais, reduzindo a necessidade de intervenção manual e minimizando o risco de desatualização.
A gestão adequada dos atributos empresariais no SCAP é essencial para garantir que apenas as pessoas com poderes de representação legítimos podem aceder e utilizar a Carteira Digital da Empresa em nome da organização. Esta gestão inclui a verificação periódica dos atributos atribuídos, a comunicação atempada de alterações nos órgãos de gestão e a implementação de procedimentos internos de controlo de acessos.
Portaria n.º 6-C/2025/1 — atributos empresariais automáticos (janeiro 2025)
Via Chave Móvel Digital pelos representantes legais da empresa
O Regulamento Geral sobre a Proteção de Dados mantém-se como pilar fundamental da proteção de dados pessoais no contexto da identidade digital empresarial. A utilização da Carteira Digital da Empresa envolve necessariamente o tratamento de dados pessoais dos representantes legais, administradores e colaboradores das organizações, exigindo a integração das obrigações do RGPD com os novos processos de identidade digital.
As organizações devem assegurar que a utilização da Carteira Digital respeita os princípios fundamentais do RGPD, nomeadamente a licitude, lealdade e transparência no tratamento, a limitação da finalidade, a minimização dos dados, a exatidão, a limitação da conservação e a integridade e confidencialidade. A Lei n.º 58/2019 complementa o regulamento europeu com disposições específicas para o contexto nacional português.
No setor da saúde, a utilização da Carteira Digital merece particular atenção, dado que os dados de saúde constituem categorias especiais de dados nos termos do artigo 9.º do RGPD, sujeitas a condições de tratamento mais restritivas. As organizações deste setor devem implementar medidas de proteção reforçadas para garantir a conformidade simultânea com o RGPD e com os requisitos de aceitação da Carteira Digital.
Artigo 9.º RGPD — proteção reforçada no setor da saúde
Lei n.º 58/2019, de 8 de agosto
A Diretiva NIS2 reforça os requisitos de cibersegurança para entidades essenciais e entidades importantes no espaço europeu, com implicações diretas na gestão da identidade digital empresarial. As organizações classificadas como entidades essenciais ou importantes devem implementar medidas de gestão de riscos de cibersegurança proporcionadas à natureza e dimensão dos riscos que enfrentam.
No contexto da Carteira Digital da Empresa, a NIS2 é particularmente relevante para os setores de energia e utilities, transportes e logística, e infraestruturas digitais, que são simultaneamente abrangidos pela obrigatoriedade de aceitação da Carteira Digital nos termos do eIDAS 2.0 e pelos requisitos reforçados de cibersegurança da NIS2.
A convergência entre o eIDAS 2.0 e a NIS2 cria uma necessidade acrescida de abordagem integrada à compliance digital, garantindo que os processos de identidade digital empresarial são implementados com os níveis adequados de segurança, controlo de acessos e resiliência operacional exigidos por ambos os instrumentos regulatórios.
Energia, transportes, saúde, infraestruturas digitais e serviços financeiros
eIDAS 2.0 + NIS2 exigem abordagem integrada à compliance digital
Compilação dos principais diplomas europeus e nacionais que enquadram a Carteira Digital da Empresa e as obrigações associadas para as organizações portuguesas.
| Diploma | Matéria Regulada | Âmbito |
|---|---|---|
| Regulamento (UE) 2024/1183 | Identidade Digital Europeia (eIDAS 2.0) | Europeu |
| Regulamento (UE) 2016/679 | Regulamento Geral sobre a Proteção de Dados (RGPD) | Europeu |
| Diretiva (UE) 2022/2555 | Segurança das Redes e dos Sistemas de Informação (NIS2) | Europeu |
| Lei n.º 89/2017, de 21 de agosto | Regime Jurídico do Registo Central do Beneficiário Efetivo (RCBE) | Nacional |
| Lei n.º 83/2017, de 18 de agosto | Medidas de combate ao branqueamento de capitais e financiamento do terrorismo | Nacional |
| Portaria n.º 233/2018, de 21 de agosto | Regulamentação do RCBE | Nacional |
| Portaria n.º 73/2018, de 12 de março | Sistema de Certificação de Atributos Profissionais (SCAP) | Nacional |
| Portaria n.º 6-C/2025/1, de 6 de janeiro | Segunda alteração ao SCAP (atributos empresariais automáticos) | Nacional |
| Lei n.º 58/2019, de 8 de agosto | Execução nacional do RGPD | Nacional |
| Código das Sociedades Comerciais (art. 546.º) | Base legal para certificação de atributos de administradores, gerentes e diretores | Nacional |
A evolução do enquadramento regulatório da identidade digital empresarial, dos marcos já concretizados aos prazos que se aproximam e que exigem preparação das organizações.
Publicação do Regulamento (UE) n.º 910/2014 que estabelece o primeiro quadro jurídico europeu para a identificação eletrónica e os serviços de confiança.
Entrada em vigor da Lei n.º 89/2017 que estabelece o regime jurídico do Registo Central do Beneficiário Efetivo em Portugal, no contexto das medidas europeias contra o branqueamento de capitais.
O Regulamento Geral sobre a Proteção de Dados torna-se diretamente aplicável em todos os Estados-Membros, estabelecendo o quadro fundamental para a proteção de dados pessoais.
O Regulamento (UE) 2024/1183 entra em vigor, alterando o eIDAS original e estabelecendo o quadro para a Identidade Digital Europeia, incluindo a obrigação de carteiras digitais.
Publicação da Portaria n.º 6-C/2025/1 que introduz a atribuição automática de atributos empresariais no SCAP, simplificando o acesso à identidade digital empresarial.
Portugal torna-se o primeiro Estado-Membro da União Europeia a disponibilizar a Carteira Digital da Empresa, com quatro documentos oficiais acessíveis através da aplicação gov.pt.
Data limite para todos os Estados-Membros da União Europeia disponibilizarem carteiras digitais de identidade certificadas aos seus cidadãos e empresas, nos termos do eIDAS 2.0.
Bancos, instituições financeiras, setores da saúde, energia e telecomunicações passam a ser obrigados a aceitar a Carteira Digital como meio de verificação de identidade. Empresas com mais de 50 trabalhadores ou volume de negócios superior a 10 milhões de euros também são abrangidas.
A convergência entre eIDAS 2.0, NIS2 e RGPD cria obrigações diferenciadas conforme o setor. Os setores abaixo enfrentam a obrigatoriedade mais imediata e de maior impacto regulatório.
Obrigatoriedade eIDAS 2.0 até novembro de 2027 conjugada com requisitos KYC/AML existentes. Integração da Carteira Digital nos processos de onboarding de clientes e verificação de identidade em operações financeiras.
Setor classificado como infraestrutura crítica nos termos da NIS2 e sujeito à obrigatoriedade eIDAS 2.0. Requisitos reforçados de cibersegurança na gestão de identidade digital e nos processos de contratação.
Tratamento de categorias especiais de dados nos termos do artigo 9.º do RGPD, conjugado com a obrigatoriedade de aceitação da Carteira Digital. Medidas de proteção reforçadas e procedimentos específicos para dados sensíveis.
Setor regulado sujeito a eIDAS 2.0 e classificado como infraestrutura crítica NIS2. Necessidade de integração da Carteira Digital nos processos de identificação de clientes e segurança das comunicações.
Entidade importante nos termos da NIS2, com operações transfronteiriças frequentes que beneficiam da interoperabilidade da European Business Wallet para verificação de parceiros e documentação.
Participação em concursos públicos exige documentação empresarial atualizada e verificável. A Carteira Digital simplifica a apresentação de certidões e declarações exigidas nos processos de contratação.
Email: secretariado@carteiradigitaldaempresa.pt
Telefone: (+351) 213 243 750
Uma iniciativa Audiqcer — Auditing, Quality & Certification Services, Lda
Tem dúvidas sobre o enquadramento regulatório aplicável à sua organização? Coloque a sua questão.