«Identificación Electrónica y Servicios de Confianza», artículo de María González, asociada senior de ECIJA, para La Ley Digital.
La cada vez mayor digitalización de los procesos de negocio y administrativos a través de la utilización de medios electrónicos y tecnológicos, acrecienta la necesidad de contar con mecanismos que permitan acreditar el origen e integridad de los datos comunicados, la identidad de los transmitentes, así como en su caso, manifestar su voluntad y consentimiento con respecto a la información transmitida, permitiendo a los mismos desplegar los correspondientes efectos jurídicos.
I. INTRODUCCIÓN
La cada vez mayor digitalización de los procesos de negocio y administrativos a través de la utilización de medios electrónicos y tecnológicos, acrecienta la necesidad de contar con mecanismos que permitan acreditar el origen e integridad de los datos comunicados, la identidad de los transmitentes, así como en su caso, manifestar su voluntad y consentimiento con respecto a la información transmitida, permitiendo a los mismos desplegar los correspondientes efectos jurídicos.
La acreditación de identidad, integridad, consentimiento y no repudio por medios electrónicos debe desplegar el mismo nivel de confianza que tradicionalmente ha tenido el soporte papel, debiendo disponer para ello de mecanismos y sistemas de identificación y firma electrónica que permitan acreditar y verificar dichos aspectos. Si añadimos además que nos encontramos en un mercado global, dichos mecanismos de identificación y firma electrónica, deben contar con el reconocimiento mutuo trasfronterizo, de forma que sea posible utilizar los documentos generados como prueba en procedimientos judiciales en todos los Estados miembro.
Con todos estos objetivos, se aprueba el Reglamento de Identificación Electrónica, (UE) 910/2014 (LA LEY 13356/2014)del Parlamento Europeo y del Consejo (en adelante eIDAS), que será de plena aplicación a partir próximo 1 de julio de 2016. Al tratarse de un Reglamento de carácter comunitario, se trata de una norma de aplicación directa a todos los Estados miembros, si bien, y de forma adicional, su aplicación va a suponer importantes cambios en la normativa nacional de firma electrónica establecida por la Ley de Firma Electrónica (59/2003, de 19 de diciembre), así como en la regulación específica de determinados servicios de confianza y en donde la Comisión ha delegado en los Estados la posibilidad de establecer condiciones específicas, siempre que dichas condiciones no vayan en contra u obstaculicen los objetivos del Reglamento, en concreto en relación con el reconocimiento mutuo y la interoperabilidad.
II. ¿CUÁLES SON LAS PRINCIPALES NOVEDADES INTRODUCIDAS POR EL EIDAS?
1. IDENTIDAD ELECTRÓNICA
Define el eIDAS la identificación electrónica como, «el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica» y que se llevará a cabo a través de los sistemas que sean notificados al efecto a la Comisión para el reconocimiento mutuo. Entiende el eIDAS por sistemas de identificación electrónica el «régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a las personas físicas o jurídicas o a una persona física que representa a una persona jurídica».
El eIDAS hace referencia expresa a los diferentes niveles de seguridad que podrán tener los sistemas de identificación electrónica, y que permitirán la identificación y autenticación de los usuarios con unas garantías de seguridad diferentes, pero que permitirán adaptar dicho nivel de seguridad, al nivel de riesgo asociado al trámite, servicio o proceso que vaya a ser realizado por medios electrónicos.
2. SERVICIOS DE CONFIANZA CUALIFICADOS Y NO CUALIFICADOS
El eIDAS define los servicios de confianza como aquellos servicios electrónicos prestados habitualmente a cambio de una remuneración consistentes en:
- • la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o
- • la creación, verificación y validación de certificados para autenticación de sitios web, o
- • la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.
Los prestadores de servicios de confianza podrán ser cualificados o no cualificados, siendo estos últimos aquellos prestadores que han recibido la cualificación del organismo de supervisión en base a lo establecido en el eIDAS. A tal efecto, entre las funciones de los organismos de supervisión se encuentra la de supervisar a los prestadores cualificados de servicios de confianza establecidos en el Estado miembro, a fin de garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el Reglamento.El eIDAS establece una serie de requisitos de seguridad
En relación con los prestadores de servicios no cualificados, las competencias del órgano de supervisión quedan limitadas a adoptar medidas, mediante actividades de supervisión posteriores, cuando reciba información de que dichos prestadores o los servicios de confianza que prestan, no cumplen los requisitos establecidos en el Reglamento.
El eIDAS establece una serie de requisitos de seguridad de aplicación a los prestadores de servicios de confianza, sean estos cualificados o no. Así deberán adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Dichas medidas garantizarán un nivel de seguridad proporcionado al grado del riesgo, y en particular se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de dichos incidentes.
En relación con los incidentes de seguridad, los prestadores de servicios de confianza tienen la obligación, en un plazo máximo de 24 horas desde que tuvo conocimiento, de notificar al órgano de supervisión, organismos nacionales en materia de seguridad de la información, órganos responsables en materia de protección de datos, cualquier violación de seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes (1) . Del mismo modo, deberá informarse a la persona física o jurídica usuaria del servicio de confianza
3. NIVELES DE SEGURIDAD DE LOS SISTEMAS DE IDENTIFICACIÓN ELECTRÓNICA
El art. 8 del eIDAS (LA LEY 13356/2014) establece los distintos niveles de seguridad de los sistemas de identificación electrónica reconocidos, y que deben caracterizar el grado de confianza de un medio de identificación electrónica para establecer la identidad de una persona, garantizando que la persona que afirma poseer una identidad determinada es de hecho la persona a quien se ha atribuido dicha identidad. El nivel de seguridad depende del grado de confianza que aporte este medio de identificación electrónica sobre la identidad pretendida o declarada, teniendo en cuenta los procedimientos técnicos, las actividades de gestión y los controles aplicados por el prestador de servicios de confianza.
Los niveles de seguridad descritos por el art. 8 del eIDAS son bajo, sustancial y alto, estableciendo los criterios que deberán ser cumplidos por cada uno de ellos en base a las especificaciones técnicas, las normas, procedimientos y los propios controles técnicos del sistema, que permitan, en mayor o menor grado acreditar la identidad declarada, así como evitar el riesgo de uso indebido o alteración de la identidad.
Las especificaciones técnicas mínimas, normas y procedimientos para determinar el nivel de seguridad del sistema se establecerán en relación a la fiabilidad y la calidad de los siguientes elementos:
- • Procedimiento para demostrar y comprobar la identidad de las personas físicas o jurídicas que solicitan la expedición de los medios de identificación electrónica
- • Procedimiento para expedir los medios de identificación electrónica solicitados
- • Mecanismo de autenticación mediante el cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad a una parte usuaria
- • Entidad que expide los medios de identificación electrónica
- • Cualquier otro organismo que intervenga en la solicitud de expedición de los medios de identificación electrónica
- • Especificaciones técnicas y de seguridad de los medios de identificación electrónica.
Estas especificaciones técnicas han sido establecidas por la Comisión en cumplimiento de los plazos establecidos en el eIDAS (plazo máximo el 18 de septiembre de 2015), a través del Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 (LA LEY 13998/2015), sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica (2) .
4. FIRMA ELECTRÓNICA REMOTA
Entre las principales novedades contempladas en el eIDAS y, que supondrá un verdadero impacto en el fomento y desarrollo de la utilización de sistemas de identificación y firma electrónica por parte de los ciudadanos se encuentra en la regulación de la firma electrónica descentralizada o remota, al considerar que la misma va a suponer importantes ventajas económicas y de seguridad jurídica.
De este modo, ya desde los considerandos, el eIDAS establece que siempre que sea posible se podrá confiar a un tercero los dispositivos cualificados de creación de firma, a condición de que éste aplique procedimientos y mecanismos de seguridad que permitan garantizar que se utilizan productos fiables, incluidos canales de comunicación seguros, y que permitan garantizar que el firmante tiene el control exclusivo de los datos de creación de firma con un alto nivel de confianza.
Así, cuando hablamos de firma electrónica remota, hacemos referencia a un sistema de firma electrónica basado en el uso de certificados electrónicos cualificados, almacenados de forma centralizada (y segura) en un dispositivo cualificado de creación de firma, controlado por un prestador de servicios de confianza cualificado (tercero distinto al titular del certificado).
Por tanto, la firma electrónica remota permite su acceso y utilización sin la vinculación exclusiva a un dispositivo concreto en el que se halle instalado el certificado electrónico de forma local, aspecto que supone una de las principales novedades de la normativa de identificación electrónica y un verdadero impulso para la implantación y uso efectivo de los sistemas de identificación y firma electrónica por parte del conjunto de la sociedad (administraciones, entidades y ciudadanos).
El texto de la LFE, antes de la modificación operada por la Ley 25/2015, de 28 de julio (LA LEY 12418/2015), de mecanismo de segunda oportunidad, reducción de la carga financiera y otras medidas de orden social (en adelante «LSO»), establecía que la firma electrónica reconocida o cualificada, debía cumplir con los siguientes requisitos:
- • Permitir identificar al firmante.
- • Permitir detectar cualquier cambio ulterior de los datos firmados.
- • Estar vinculada al firmante de manera única y a los datos a que se refiere.
- • Haber sido creada por medios que el firmante puede mantener bajo su exclusivo control.
- • Estar basada en un certificado reconocido.
- • Ser generada mediante un dispositivo seguro de creación de firma.
La referencia expresa a «medios que el firmante puede mantener bajo su exclusivo control» limitaba el reconocimiento de la firma electrónica cualificada o reconocida en los sistemas de firma electrónica remota, al no cumplir este requisito de mantener bajo el exclusivo control del titular los datos de creación de firma, quedando sus efectos limitados a los establecidos para la firma electrónica avanzada.
Mediante la citada reforma introducida por la LSO, este requisito ha sido matizado, estableciéndose la posibilidad de que la firma electrónica sea creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.
(…)
Si desea acceder a la versión completa del artículo, click aquí.