Identificación Electrónica y Servicios de Confianza

17 mayo, 2016

«Identificación Electrónica y Servicios de Confianza», artículo de María González, asociada senior de ECIJA, para La Ley Digital.

La cada vez mayor digitalización de los procesos de negocio y administrativos a través de la utilización de medios electrónicos y tecnológicos, acrecienta la necesidad de contar con mecanismos que permitan acreditar el origen e integridad de los datos comunicados, la identidad de los transmitentes, así como en su caso, manifestar su voluntad y consentimiento con respecto a la información transmitida, permitiendo a los mismos desplegar los correspondientes efectos jurídicos.

I. INTRODUCCIÓN

La acreditación de identidad, integridad, consentimiento y no repudio por medios electrónicos debe desplegar el mismo nivel de confianza que tradicionalmente ha tenido el soporte papel, debiendo disponer para ello de mecanismos y sistemas de identificación y firma electrónica que permitan acreditar y verificar dichos aspectos. Si añadimos además que nos encontramos en un mercado global, dichos mecanismos de identificación y firma electrónica, deben contar con el reconocimiento mutuo trasfronterizo, de forma que sea posible utilizar los documentos generados como prueba en procedimientos judiciales en todos los Estados miembro.

Con todos estos objetivos, se aprueba el Reglamento de Identificación Electrónica, (UE) 910/2014 (LA LEY 13356/2014)del Parlamento Europeo y del Consejo (en adelante eIDAS), que será de plena aplicación a partir próximo 1 de julio de 2016. Al tratarse de un Reglamento de carácter comunitario, se trata de una norma de aplicación directa a todos los Estados miembros, si bien, y de forma adicional, su aplicación va a suponer importantes cambios en la normativa nacional de firma electrónica establecida por la Ley de Firma Electrónica (59/2003, de 19 de diciembre), así como en la regulación específica de determinados servicios de confianza y en donde la Comisión ha delegado en los Estados la posibilidad de establecer condiciones específicas, siempre que dichas condiciones no vayan en contra u obstaculicen los objetivos del Reglamento, en concreto en relación con el reconocimiento mutuo y la interoperabilidad.

II. ¿CUÁLES SON LAS PRINCIPALES NOVEDADES INTRODUCIDAS POR EL EIDAS?

1. IDENTIDAD ELECTRÓNICA

Define el eIDAS la identificación electrónica como, «el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica» y que se llevará a cabo a través de los sistemas que sean notificados al efecto a la Comisión para el reconocimiento mutuo. Entiende el eIDAS por sistemas de identificación electrónica el «régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a las personas físicas o jurídicas o a una persona física que representa a una persona jurídica».

El eIDAS hace referencia expresa a los diferentes niveles de seguridad que podrán tener los sistemas de identificación electrónica, y que permitirán la identificación y autenticación de los usuarios con unas garantías de seguridad diferentes, pero que permitirán adaptar dicho nivel de seguridad, al nivel de riesgo asociado al trámite, servicio o proceso que vaya a ser realizado por medios electrónicos.

2. SERVICIOS DE CONFIANZA CUALIFICADOS Y NO CUALIFICADOS

El eIDAS define los servicios de confianza como aquellos servicios electrónicos prestados habitualmente a cambio de una remuneración consistentes en:

• la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o
• la creación, verificación y validación de certificados para autenticación de sitios web, o
• la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.

Los prestadores de servicios de confianza podrán ser cualificados o no cualificados, siendo estos últimos aquellos prestadores que han recibido la cualificación del organismo de supervisión en base a lo establecido en el eIDAS. A tal efecto, entre las funciones de los organismos de supervisión se encuentra la de supervisar a los prestadores cualificados de servicios de confianza establecidos en el Estado miembro, a fin de garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el Reglamento.El eIDAS establece una serie de requisitos de seguridad

En relación con los prestadores de servicios no cualificados, las competencias del órgano de supervisión quedan limitadas a adoptar medidas, mediante actividades de supervisión posteriores, cuando reciba información de que dichos prestadores o los servicios de confianza que prestan, no cumplen los requisitos establecidos en el Reglamento.

El eIDAS establece una serie de requisitos de seguridad de aplicación a los prestadores de servicios de confianza, sean estos cualificados o no. Así deberán adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Dichas medidas garantizarán un nivel de seguridad proporcionado al grado del riesgo, y en particular se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de dichos incidentes.

En relación con los incidentes de seguridad, los prestadores de servicios de confianza tienen la obligación, en un plazo máximo de 24 horas desde que tuvo conocimiento, de notificar al órgano de supervisión, organismos nacionales en materia de seguridad de la información, órganos responsables en materia de protección de datos, cualquier violación de seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes (1) . Del mismo modo, deberá informarse a la persona física o jurídica usuaria del servicio de confianza

3. NIVELES DE SEGURIDAD DE LOS SISTEMAS DE IDENTIFICACIÓN ELECTRÓNICA

El art. 8 del eIDAS (LA LEY 13356/2014) establece los distintos niveles de seguridad de los sistemas de identificación electrónica reconocidos, y que deben caracterizar el grado de confianza de un medio de identificación electrónica para establecer la identidad de una persona, garantizando que la persona que afirma poseer una identidad determinada es de hecho la persona a quien se ha atribuido dicha identidad. El nivel de seguridad depende del grado de confianza que aporte este medio de identificación electrónica sobre la identidad pretendida o declarada, teniendo en cuenta los procedimientos técnicos, las actividades de gestión y los controles aplicados por el prestador de servicios de confianza.

Los niveles de seguridad descritos por el art. 8 del eIDAS son bajo, sustancial y alto, estableciendo los criterios que deberán ser cumplidos por cada uno de ellos en base a las especificaciones técnicas, las normas, procedimientos y los propios controles técnicos del sistema, que permitan, en mayor o menor grado acreditar la identidad declarada, así como evitar el riesgo de uso indebido o alteración de la identidad.

Las especificaciones técnicas mínimas, normas y procedimientos para determinar el nivel de seguridad del sistema se establecerán en relación a la fiabilidad y la calidad de los siguientes elementos:

• Procedimiento para demostrar y comprobar la identidad de las personas físicas o jurídicas que solicitan la expedición de los medios de identificación electrónica
• Procedimiento para expedir los medios de identificación electrónica solicitados
• Mecanismo de autenticación mediante el cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad a una parte usuaria
• Entidad que expide los medios de identificación electrónica
• Cualquier otro organismo que intervenga en la solicitud de expedición de los medios de identificación electrónica
• Especificaciones técnicas y de seguridad de los medios de identificación electrónica.

Estas especificaciones técnicas han sido establecidas por la Comisión en cumplimiento de los plazos establecidos en el eIDAS (plazo máximo el 18 de septiembre de 2015), a través del Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 (LA LEY 13998/2015), sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica (2) .

4. FIRMA ELECTRÓNICA REMOTA

Entre las principales novedades contempladas en el eIDAS y, que supondrá un verdadero impacto en el fomento y desarrollo de la utilización de sistemas de identificación y firma electrónica por parte de los ciudadanos se encuentra en la regulación de la firma electrónica descentralizada o remota, al considerar que la misma va a suponer importantes ventajas económicas y de seguridad jurídica.

De este modo, ya desde los considerandos, el eIDAS establece que siempre que sea posible se podrá confiar a un tercero los dispositivos cualificados de creación de firma, a condición de que éste aplique procedimientos y mecanismos de seguridad que permitan garantizar que se utilizan productos fiables, incluidos canales de comunicación seguros, y que permitan garantizar que el firmante tiene el control exclusivo de los datos de creación de firma con un alto nivel de confianza.

Así, cuando hablamos de firma electrónica remota, hacemos referencia a un sistema de firma electrónica basado en el uso de certificados electrónicos cualificados, almacenados de forma centralizada (y segura) en un dispositivo cualificado de creación de firma, controlado por un prestador de servicios de confianza cualificado (tercero distinto al titular del certificado).

Por tanto, la firma electrónica remota permite su acceso y utilización sin la vinculación exclusiva a un dispositivo concreto en el que se halle instalado el certificado electrónico de forma local, aspecto que supone una de las principales novedades de la normativa de identificación electrónica y un verdadero impulso para la implantación y uso efectivo de los sistemas de identificación y firma electrónica por parte del conjunto de la sociedad (administraciones, entidades y ciudadanos).

El texto de la LFE, antes de la modificación operada por la Ley 25/2015, de 28 de julio (LA LEY 12418/2015), de mecanismo de segunda oportunidad, reducción de la carga financiera y otras medidas de orden social (en adelante «LSO»), establecía que la firma electrónica reconocida o cualificada, debía cumplir con los siguientes requisitos:

• Permitir identificar al firmante.
• Permitir detectar cualquier cambio ulterior de los datos firmados.
• Estar vinculada al firmante de manera única y a los datos a que se refiere.
• Haber sido creada por medios que el firmante puede mantener bajo su exclusivo control.
• Estar basada en un certificado reconocido.
• Ser generada mediante un dispositivo seguro de creación de firma.

La referencia expresa a «medios que el firmante puede mantener bajo su exclusivo control» limitaba el reconocimiento de la firma electrónica cualificada o reconocida en los sistemas de firma electrónica remota, al no cumplir este requisito de mantener bajo el exclusivo control del titular los datos de creación de firma, quedando sus efectos limitados a los establecidos para la firma electrónica avanzada.

Mediante la citada reforma introducida por la LSO, este requisito ha sido matizado, estableciéndose la posibilidad de que la firma electrónica sea creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.

(…)

Si desea acceder a la versión completa del artículo, click aquí.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

María González