Servicios de confianza
En virtud del Reglamento sobre la identidad digital europea, la definición de servicios de confianza es más amplia que en el Reglamento eIDAS original. Están cubiertos los siguientes servicios de confianza:
Certificados de firmas electrónicas, certificados de sellos electrónicos, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza
El Reglamento sobre la identidad digital europea mantiene el marco jurídico para los certificados, en particular varios certificados adaptados a fines específicos. Entre ellas figuran los certificados de firma electrónica, los sellos electrónicos, la autenticación de sitios web y la prestación de otros servicios de confianza. Un certificado se define como una certificación electrónica de la identidad de la persona a la que se expide y sirve como prueba para facilitar ciertas acciones. Se mantiene la diferenciación entre certificados cualificados y no cualificados, que depende de la situación del prestador de servicios de confianza y del nivel de fiabilidad de la información acreditada. Por último, la única adición con respecto a los certificados es la capacidad de solicitar y almacenar estos certificados dentro de lacartera europeade identidad digital, independientemente del tipo de certificado.
Firmas electrónicas
El Reglamento sobre la identidad digital europea mantiene el marco jurídico para que las firmas electrónicas sean expedidas y utilizadas por personas físicas para firmar un documento o datos. Se mantiene la distinción entre firmas electrónicas, firmas electrónicas avanzadas y firmas electrónicas cualificadas, que tienen el mismo efecto jurídico que las firmas manuscritas en toda la Unión. El nuevo Reglamento sobre la identidad digital europea hará uso gratuito de firmas electrónicas cualificadas a todas las personas físicas con fines no profesionales cuando se cree mediante la cartera europea de identidad digital.
Sellos electrónicos
El Reglamento sobre la identidad digital europea no modifica ni la definición de los sellos electrónicos ni su creación, validación o conservación. Los sellos electrónicos deben ser emitidos y utilizados por personas jurídicas para garantizar el origen y la integridad de los datos/documentos. El Reglamento también mantiene la distinción entre sellos electrónicos, sellos electrónicos avanzados y sellos electrónicos cualificados.
Acreditaciones Electrónicas de Atributos
El Reglamento sobre la identidad digital europea ha introducido la emisión de la certificación electrónica de atributos (EAA) como un nuevo servicio de confianza. EAAS se definen como una certificación en forma electrónica que permite que los atributos sean autenticados. De conformidad con el artículo 45 ter, apartado 1, no se puede negar a estas declaraciones efectos jurídicos o admisibilidad como prueba en procedimientos judiciales por el mero hecho de que estén en formato electrónico. Si bien estos servicios de confianza pueden ser cualificados o no cualificados, dependiendo de la condición del proveedor de servicios de confianza, las CEA no cualificadas aún deben ser admitidas y reconocidas en procedimientos judiciales, aunque el reconocimiento transfronterizo no será obligatorio para ellos. Las CEA también pueden ser expedidas por un organismo del sector público responsable de una fuente auténtica o por una organización que actúe en su nombre. Los usuarios podrán utilizar sus carteras de identidad digital europea para recibir, validar y compartir sus CEA.
Sellos de tiempo electrónicos
El Reglamento sobre la identidad digital europea no modifica las disposiciones relativas a las marcas de tiempo electrónicas. Su emisión tiene por objeto garantizar la exactitud del tiempo vinculado a los datos/documentos. El Reglamento sobre la identidad digital europea no modifica las disposiciones que regulan los servicios de confianza que garantizan su creación (también a nivel cualificado) y su validación.
Autenticación de sitios web
La autenticación de sitios web ya estaba prevista en el Reglamento eIDAS 910/2014. De conformidad con el Reglamento revisado, se expide un certificado cualificado de autenticación de sitios web (QWAC) a una persona física o jurídica que permite autenticar un sitio web y vincular el sitio web a la identidad de la persona a la que se expide el certificado. El Reglamento exige que los navegadores web reconozcan un QWAC y muestren los datos de identidad del propietario del sitio web de una manera fácil de usar. Los certificados pueden ser calificados o no calificados y el uso de dichos certificados por parte de los sitios web debe ser voluntario.
Archivo electrónico
El Reglamento sobre la identidad digital europea ha introducido el archivo electrónico de datos y documentos electrónicos como servicio de confianza que se refiere a garantizar la recepción, el almacenamiento, la recuperación y la supresión de datos y documentos electrónicos. Pueden ser calificados o no calificados, cuando son proporcionados por un proveedor de servicios de confianza calificado o no calificado, respectivamente.
Dispositivos de creación de firmas/sellos
El Reglamento sobre la identidad digital europea ha introducido un servicio de confianza cualificado para la gestión de dispositivos de creación de firmas o sellos electrónicos cualificados a distancia en nombre de los usuarios. En el Reglamento (UE) n.o 910/2014, la gestión de estos dispositivos cualificados a distancia no se clasificó como un servicio de confianza diferenciado.
Libros contables electrónicos
El Reglamento sobre la identidad digital europea introduce el registro de datos electrónicos en los libros mayores electrónicos como servicio de confianza. Los libros contables electrónicos se definen como servicios que ofrecen un ordenamiento cronológico secuencial de los registros de datos, garantizando la integridad y exactitud tanto de los propios registros como de su orden cronológico. Se pueden distinguir dos tipologías de libros electrónicos: centralizado y distribuido. El Reglamento adopta una posición neutra con respecto a dicha tipología o incluso a la tecnología utilizada. Además, los libros electrónicos pueden ser calificados o no calificados. En general, el objetivo es que los libros contables electrónicos, junto con otras tecnologías, contribuyan a soluciones para unos servicios públicos más eficientes y transformadores.
Servicio de entrega electrónica certificada
El Reglamento sobre la identidad digital europea mantiene los servicios de entrega electrónica certificada como servicios de confianza. Estos servicios proporcionan un canal seguro para la transmisión de documentos, incluida la prueba de envío y recepción de los datos. Garantizan una total certeza en la identificación del destinatario y mantienen un alto nivel de confianza en la identificación del remitente. Pueden ser cualificados o no cualificados, mientras que solo los servicios cualificados de entrega electrónica certificada gozan de un reconocimiento a escala de la UE.
Desde un punto de vista jurídico, tanto los servicios de confianza cualificados como los no cualificados se benefician de una cláusula de no discriminación como prueba en los tribunales. En otras palabras, los servicios de confianza no pueden descartarse en los procedimientos judiciales únicamente por estar en formato electrónico o por no estar cualificados.
Sin embargo, debido a los requisitos más estrictos aplicables a los proveedores de servicios de confianza cualificados, los servicios de confianza cualificados proporcionan un efecto jurídico específico más fuerte que los no cualificados, así como una mayor seguridad técnica: Una firma electrónica cualificada tendrá el efecto jurídico equivalente de una firma manuscrita. Un sello electrónico cualificado gozará de la presunción de integridad de los datos y de exactitud del origen de los datos a los que esté vinculado el sello electrónico cualificado. Las declaraciones electrónicas cualificadas de atributos y las declaraciones de atributos expedidas por un organismo del sector público responsable de una fuente auténtica o en su nombre surtirán los mismos efectos jurídicos que las declaraciones legalmente expedidas en papel. Por lo tanto, los servicios de confianza cualificados proporcionan una mayor seguridad jurídica y una mayor seguridad de las transacciones electrónicas.
No hay cambios en lo que respecta al efecto jurídico concedido a las firmas electrónicas desde el eIDAS original hasta el Reglamento sobre la identidad digital europea. Lo que cambiará es la disponibilidad y facilidad para que todos creen firmas electrónicas calificadas. Una vez embarcadas en una cartera europea de identidad digital, todas las personas físicas tendrán la posibilidad de firmar con una firma electrónica cualificada por defecto a través de una cartera europea de identidad digital de forma gratuita, con fines no profesionales.
El Reglamento eIDAS 910/2014 introdujo inicialmente el uso de sellos electrónicos por parte de las entidades jurídicas y esta disposición se mantiene sin cambios en virtud del Reglamento modificado. Al igual que las personas físicas, las entidades jurídicas también tendrán acceso a la funcionalidad de sellado electrónico de documentos mediante el uso de su cartera europea de identidad digital. Sin embargo, los proveedores de carteras de identidad digital europea o los Estados miembros no están obligados a ofrecer dichas funcionalidades a las entidades jurídicas o a los casos de uso profesional de forma gratuita.
El Reglamento sobre la identidad digital europea mantiene el principio de no discriminación de los documentos electrónicos, afirmando que no se les denegará el efecto jurídico ni la admisibilidad por el único motivo de que estén en formato electrónico. Además, no se hará distinción alguna entre los datos electrónicos, los documentos electrónicos creados en formato electrónico y los documentos físicos digitalizados. Por último, aprovechando el archivo electrónico como servicio de confianza, el Reglamento establece un marco que facilita la durabilidad y legibilidad de los documentos electrónicos, así como la preservación de su integridad, confidencialidad y prueba de origen durante todo el período de conservación.
En cuanto a los efectos jurídicos, las disposiciones del Reglamento eIDAS que estipulaban que una firma o sello electrónico cualificado basado en un certificado cualificado expedido en un Estado miembro se reconocerá como firma o sello electrónico cualificado, respectivamente, en todos los demás Estados miembros, se han mantenido en el Reglamento sobre la identidad digital europea (EUDI).
En un plazo de doce meses a partir de la fecha de entrada en vigor del Reglamento EUDI, la Comisión establecerá, mediante actos de ejecución, una lista de normas, especificaciones y procedimientos de referencia, en caso necesario, para los certificados cualificados de firma electrónica. En consecuencia, los proveedores cualificados de servicios de confianza, responsables de emitir o validar certificados cualificados para firmas electrónicas, deberán cumplir estas normas y procedimientos especificados. Los certificados cualificados para las firmas electrónicas expedidos antes de la fecha de entrada en vigor de dichos actos de ejecución seguirán siendo válidos hasta su expiración o revocación, lo que ocurra primero.
En un plazo de doce meses a partir de la fecha de entrada en vigor del Reglamento EUDI, la Comisión establecerá, mediante actos de ejecución, una lista de normas, especificaciones y procedimientos de referencia, en caso necesario, para los certificados cualificados de sellos electrónicos. En consecuencia, los proveedores de servicios de confianza cualificados, responsables de emitir o validar certificados para sellos electrónicos cualificados, deberán cumplir estas normas y procedimientos especificados. Los certificados cualificados para los sellos electrónicos expedidos antes de la fecha de entrada en vigor de dichos actos de ejecución seguirán siendo válidos hasta su expiración o revocación, lo que ocurra primero.
Proveedores de servicios de confianza
- Si un proveedor de servicios de confianza desea prestar un servicio de confianza cualificado, solicitará en primer lugar una evaluación a un organismo de evaluación de la conformidad (OEC) acreditado. El OEC debe confirmar que el candidato a proveedor de servicios de confianza cualificado y el servicio de confianza cualificado que pretende prestar cumplen los requisitos establecidos en el Reglamento sobre la identidad digital europea y en el artículo 21 de la Directiva SRI 2 (UE) 2022/2555. Este proceso se conoce comúnmente como una "auditoría".
- Una vez que el PST obtiene el informe, debe presentar una solicitud al organismo de supervisión del país en el que está establecido junto con el informe del organismo de evaluación de la conformidad que confirma el cumplimiento. El organismo de supervisión debe verificar este cumplimiento declarado en un plazo de tres meses. Si el organismo de supervisión tarda más de lo previsto en verificarlo, se informará al proveedor de servicios de transporte de dicho retraso en un plazo de tres meses a partir de su presentación, explicando los motivos del retraso y se facilitará un calendario actualizado.
- Una vez concluida la verificación, el organismo de supervisión otorgaría un estatuto cualificado. A continuación, se actualizará la lista nacional de confianza de proveedores de servicios de confianza cualificados. Solo después de que el organismo responsable lo haya agregado a la lista, el QTSP podrá comenzar a ofrecer su servicio de confianza calificado. Los servicios de confianza cualificados ofrecidos se beneficiarán de un reconocimiento transfronterizo a escala de la UE.
Los servicios de confianza cualificados se someterán a una evaluación de la conformidad cada veinticuatro meses. Un organismo de evaluación de la conformidad auditará el QTSP y el servicio de confianza cualificado prestado. Si sigue cumpliendo los requisitos establecidos en el Reglamento sobre la identidad digital europea, se emitirá un informe al QTSP. Una vez recibido, el QTSP tiene tres días hábiles a partir de la fecha de recepción para presentar el informe al organismo de supervisión. Tras una verificación positiva por parte del organismo de supervisión, se mantiene la cualificación. Sin embargo, el organismo de supervisión se reserva el derecho de solicitar pruebas adicionales o realizar evaluaciones adicionales en cualquier momento según sea necesario.
Cada vez que un QTSP planifica una auditoría, debe informar al organismo de supervisión con al menos un mes de antelación. Además, el organismo de supervisión tiene derecho a asistir a la auditoría con el organismo de evaluación de la conformidad si el organismo de supervisión así lo desea.
Entre dos auditorías periódicas, el organismo de supervisión podrá en cualquier momento auditar o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad para confirmar la cualificación de los servicios prestados y de sí mismo.
Si un QTSP ya ha obtenido un estatus calificado para la emisión de certificados calificados, antes de que el reglamento entre en vigor, debe presentar un informe de evaluación de la conformidad a un organismo de supervisión a más tardar dos años después de la entrada en vigor del reglamento.
Si el QTSP no cumple los requisitos establecidos en el Reglamento sobre la identidad digital europea y no los rectifica en el plazo especificado tras haber sido informado, podrá retirarse la cualificación y actualizarse en consecuencia la lista nacional de confianza.
Desde el momento en que el estatuto cualificado del servicio de confianza prestado por el proveedor de servicios de confianza se indica como retirado de la lista de confianza, el proveedor de servicios de confianza ya no está autorizado a prestar ese servicio de confianza cualificado.
En el Reglamento sobre la identidad digital europea, un organismo de evaluación de la conformidad (CAB) se define como una entidad competente para evaluar a los proveedores de servicios de confianza cualificados y los servicios que ofrecen.
Inicialmente, los organismos nacionales de acreditación (ONA) o los Estados miembros no estaban obligados a informar a la Comisión Europea sobre los OEC acreditados con arreglo al artículo 3, apartado 18, del eIDAS.
Sin embargo, gracias a los esfuerzos de cooperación de los ONA y los organismos de supervisión, la Comisión elaboró una lista de OEC acreditados por eIDAS.
En virtud del Reglamento eIDAS 910/2014, los OEC se enumeran en el país en el que se encuentra el ONA acreditante, lo que podría diferir del país de establecimiento del OEC.
El Reglamento sobre la identidad digital europea introduce un cambio, ya que los Estados miembros deberán notificar sin demora a la Comisión los OEC acreditados, incluidos sus nombres, direcciones y datos de acreditación, junto con cualquier cambio posterior. Esta información se compartirá con todos los Estados miembros y seguirá siendo accesible al público.
Las listas deconfianza son esenciales para garantizar la seguridad y generar confianza entre los operadores del mercado. Las listas de confianza indican continuamente el estado calificado de un proveedor de servicios de confianza y el servicio de confianza que ofrece. La lista fomenta la interoperabilidad de los servicios de confianza cualificados facilitando la validación de, entre otras cosas, firmas electrónicas cualificadas y sellos electrónicos cualificados.
En virtud del Reglamento sobre la identidad digital europea, las listas de confianza nacionales siguen teniendo un efecto jurídico constitutivo, como ya ocurría con el Reglamento eIDAS original. En otras palabras, un prestador/servicio solo estará cualificado si figura con una cualificación válida en la lista nacional de confianza del Estado miembro en el que está establecido. Por consiguiente, los usuarios (ciudadanos, empresas o administraciones públicas) solo se beneficiarán del efecto jurídico asociado a un determinado servicio de confianza cualificado si este último figura (como cualificado) en la lista de confianza pertinente.
En virtud del nuevo Reglamento sobre la identidad digital europea, los proveedores de navegadores no están obligados a reconocer, integrar o utilizar las listas de confianza en sus productos. La obligación de los navegadores se limita a mostrar los datos de identidad certificados y los demás atributos acreditados al usuario final de una manera fácil de usar en el entorno del navegador, por medios técnicos de su elección. Esto tiene como objetivo mejorar la seguridad y la transparencia de Internet como servicios de confianza.
No. Es una decisión comercial de los proveedores de servicios de confianza sobre si proporcionar uno, más de uno o todos los servicios de confianza, incluida la prestación de aquellos en su versión calificada.
Sí, en el contexto de proporcionar un certificado calificado o una certificación calificada de atributos, se requiere que un Proveedor de Servicios de Confianza Calificado (QTSP) verifique la identidad de la persona física o jurídica. Este requisito se extiende a los casos en que se expida un servicio cualificado de entrega electrónica certificada. De conformidad con el artículo 24 del Reglamento sobre la identidad digital europea, al expedir un certificado cualificado o una certificación electrónica cualificada de atributos, un QTSP debe verificar la identidad y los atributos necesarios de la persona en cuestión. Esto asegura que el QTSP tenga certeza en la exactitud y corrección de la identidad del individuo, así como cualquier atributo relevante, en el momento de la emisión. La verificación puede llevarse a cabo utilizando diversos métodos, incluida la cartera europea de identidad digital, firmas o sellos electrónicos cualificados u otros métodos altamente fiables. Además, la presencia física de la persona física o de un representante autorizado de la persona jurídica también puede servir como medio de verificación.
No. De conformidad con el principio del mercado interior (artículo 4) y el artículo 24 bis del Reglamento sobre la identidad digital europea, un servicio de confianza cualificado prestado en un Estado miembro será reconocido como cualificado en todos los demás Estados miembros.
El Reglamento sobre la identidad digital europea facilita el proceso de reconocimiento mutuo de los servicios de confianza al añadir al acuerdo internacional del artículo 218 del TFUE la posibilidad de adoptar actos de ejecución para establecer las condiciones en las que los marcos de confianza de terceros países pueden considerarse equivalentes al marco de los servicios de confianza cualificados en la Unión.
¿Qué puede/debe hacerse a nivel nacional?
El Reglamento sobre la identidad digital europea establece un nuevo marco de gobernanza global para la identificación electrónica y los servicios de confianza. Este marco está diseñado para facilitar la aplicación y la supervisión tanto de las carteras europeas de identidad digital como de los servicios de confianza. El nuevo marco de gobernanza incluye, en particular, un nuevo organismo de cooperación y coordinación, el Grupo Europeo de Cooperación en materia de Identidad Digital. A este organismo se le encomendó una amplia gama de tareas, por ejemplo, intercambiar asesoramiento y cooperar con la Comisión en iniciativas políticas emergentes, organizar revisiones inter pares de medios de identificación electrónica notificados distintos de la cartera europea de identidad digital, debatir solicitudes de asistencia mutua e intercambiar puntos de vista, mejores prácticas y otra información entre todas las partes. La nueva configuración mejorará la coherencia y la eficacia del actual sistema de gobernanza y sustituirá a la actual estructura fragmentada.
Sí, los Estados miembros pueden establecer otros servicios de confianza. Sin embargo, si estos servicios no se adhieren al marco jurídico esbozado por el Reglamento eIDAS modificado, en particular para los servicios de confianza cualificados, carecerán de efecto jurídico a través de las fronteras.
Como principio general, las firmas electrónicas y los sellos electrónicos no podrán ser objeto de denegación de efectos jurídicos ni de admisibilidad como prueba en procedimientos judiciales, incluso por parte de las administraciones públicas, por el mero hecho de que estén en formato electrónico o no cumplan los requisitos de firmas o sellos electrónicos cualificados. Dichas firmas o sellos electrónicos deben beneficiarse de este principio independientemente de su formato técnico. El Reglamento EUDI ha mantenido la obligación de que los servicios en línea ofrecidos por un organismo del sector público o en su nombre reconozcan al menos los formatos o métodos técnicos enumerados en un acto de ejecución adoptado con arreglo al artículo 27/37I.
No, está prohibido que las leyes nacionales regulen el período de validez de los certificados cualificados, ya que está armonizado por el Reglamento sobre la identidad digital europea.
No, está prohibido que las leyes nacionales regulen este asunto, ya que está armonizado por el Reglamento sobre la identidad digital europea. El Reglamento sobre la identidad digital europea establece que la validez de dicha certificación no excederá de cinco años, siempre que las evaluaciones de vulnerabilidad se lleven a cabo cada dos años. La Comisión se encargará de emitir directrices sobre la certificación y la recertificación de los dispositivos cualificados de creación de firmas electrónicas y los dispositivos cualificados de creación de sellos electrónicos, incluidas su validez y limitaciones temporales. Esto garantizará la coherencia de las prácticas de certificación en toda la Unión.
El Reglamento sobre la identidad digital europea establece que los Estados miembros deben definir sanciones por infracciones, en particular por el uso indebido de la marca de confianza de la UE para servicios de confianza cualificados por parte de proveedores de servicios de confianza no cualificados. Para garantizar la aplicación efectiva del Reglamento, garantizando al mismo tiempo que las sanciones sean efectivas, proporcionadas y disuasorias, el Reglamento prevé el establecimiento de directrices para las multas administrativas tanto para los proveedores de servicios de confianza cualificados como para los no cualificados. El Reglamento establece un umbral para las sanciones máximas que pueden aplicarse a los prestadores de servicios de confianza que infrinjan las normas relativas a las personas físicas.
Medidas adoptadas por las instituciones de la UE y los Estados miembros
Tras la entrada en vigor del Reglamento sobre la identidad digital europea, la Comisión emitirá una serie de actos de ejecución destinados a armonizar la aplicación de los requisitos del Reglamento. Además, la Comisión fomentará una cooperación estrecha y estructurada con diversas partes interesadas, incluidos los Estados miembros, la sociedad civil y el sector privado. Esta colaboración se facilitará a través de grupos de expertos, consultas específicas con las partes interesadas y consultas públicas.
El Reglamento sobre la identidad digital europea es directamente aplicable en los veintisiete Estados miembros de la UE. Entre otras cosas, los Estados miembros velarán por:
- Designar uno o varios organismos de supervisión y notificar a la Comisión sus nombres y direcciones.
- Designar organismos de evaluación de la conformidad para la certificación de las carteras de identidad digital europea y notificar a la Comisión sus nombres, direcciones y datos de acreditación.
- Colaborar con la Comisión para designar representantes en el Grupo de Cooperación para la cooperación transfronteriza.
- Aplicar sanciones efectivas, proporcionadas y disuasorias para las infracciones.
- Garantizar que los proveedores cualificados de servicios de confianza de certificación electrónica de atributos puedan verificar electrónicamente los atributos clave a petición del usuario. Estos atributos, como mínimo, incluyen los enumerados en el anexo VI del Reglamento sobre la identidad digital europea, siempre que se basen en fuentes auténticas del sector público.
- Considere la posibilidad de incorporar certificados calificados para la autenticación de sitios web en sitios web gubernamentales.
- Seguir publicando y manteniendo listas de confianza nacionales de conformidad con el artículo 22.
- Garantizar que los organismos del sector público reconozcan los formatos de firmas electrónicas avanzadas y sellos electrónicos de conformidad con el artículo 27/37.
El Reglamento no es aplicable a las instituciones de la UE que se rigen por sus propias normas de procedimiento adoptadas. La Comisión Europea está regulada actualmente en este ámbito por la Decisión 2021/2121 de la Comisión, por la que se establecen sus propias disposiciones sobre documentos electrónicos y digitalizados.