Últimas novedades sobre servicios electrónicos de confianza: Ley 6/2020

14 diciembre, 2020

El 12 de noviembre se publicó la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (en adelante, “LSEC”) tras más de cuatro años de elaboración y habiendo estado incluida como objetivo prioritario en el Plan Anual Normativo de la Administración General del Estado para el año 2018 dentro de las normas relativas a la “Protección de Derechos”.

Desde la publicación del Reglamento Europeo 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (en adelante, eIDAS), que establece un régimen específico para los servicios electrónicos de confianza, el Gobierno de España era consciente de la necesidad de adaptar su normativa nacional en materia de identificación y firma (Ley 59/2003 de firma electrónica) a esta nueva regulación. Dicha ley de firma electrónica se encontraba obsoleta y quedó desplazada en aquello que contradecía al Reglamento eIDAS, por lo que era necesaria la regulación de una nueva norma ya que existían preceptos inaplicables, como la emisión de certificados de firma electrónica a personas jurídicas.

Con el impulso de la plena aplicación del Reglamento eIDAS en el año 2016, en España se inició la elaboración de una norma que, por un lado, supondría la armonización de la legislación nacional vigente, y por otro, complementaría al Reglamento eIDAS en aquellos aspectos que no han quedado recogidos en la norma y que el propio Reglamento prevé su desarrollo por los ordenamientos jurídicos nacionales. La propia denominación de la Ley nacional publicada, cuyo análisis ocupa esta nota, refleja esta realidad.

ASPECTOS QUE DEROGA LA LEY

No emisión de certificados de firma a favor de personas jurídicas: en línea con eIDAS, únicamente las personas físicas están capacitadas para firmar electrónicamente, por lo que la ley no prevé la emisión de certificados de firma electrónica a personas jurídicas o entidades sin personalidad jurídica, quedando, por tanto, reservados a las personas jurídicas los sellos electrónicos, que permiten garantizar la autenticidad e integridad de documentos.
Derogación de la figura de Tercero de Confianza: se deroga el artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, relativo a Terceros de Confianza. Esto se debe a que los servicios que ofrecen este tipo de proveedores se encuentran dentro de los servicios que regula el Reglamento eIDAS, en especial, los servicios de entrega electrónica certificada, que supone la transmisión de datos entre terceras partes y aporta evidencias del envío, la transmisión y la recepción de los datos, así como los servicios de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados.

Esto supone que todos los Terceros de Confianza que deseen seguir considerándose como tal, deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital, en el plazo de 3 meses desde la publicación de la Ley (11 de noviembre), para que sean incluidos en la lista de Prestadores de Servicios de Confianza debiendo aportar, entre otra documentación, la Declaración de Prácticas de sus servicios electrónicos de confianza.

ASPECTOS DESTACADOS QUE REGULA LA LEY

La Ley 6/2020 mantiene parte del contenido del articulado de la Ley 59/2003 y entra a regular los siguientes aspectos:

Por un lado, refuerza los efectos jurídicos de los servicios cualificados, previendo una presunción “iuris tantum” en cuanto a la validez de los documentos electrónicos, presuponiendo la validez del servicio de confianza cualificado siempre que se encuentre en la lista de servicios de confianza cualificados del Ministerio Asuntos Económicos y Transformación Digital. En caso de impugnación de la autenticidad o integridad de un documento electrónico vinculado a un servicio cualificado, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. La inclusión de este nuevo régimen supone en paralelo la modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil en relación con la fuerza probatoria de los documentos electrónicos privados.
En relación con la identidad y atributos del titular de los certificados cualificados, deberá consignarse la información relativa al proceso de identificación, incluyendo para los certificados cualificados expedidos a personas físicas el DNI, NIE o NIF, salvo en los casos en los que el titular carezca de todos ellos para lo que, excepcionalmente, se permite el uso de otro código o número identificativo, siempre que le identifique de forma unívoca y permanente en el tiempo. Los expedidos a personas jurídicas o entidades sin personalidad jurídica se identificarán mediante su denominación social y el NIF; y en defecto de este, han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.
Por otro lado, con la publicación de la Ley quedará abierta la posibilidad de que los Prestadores de Servicios de Confianza en España puedan utilizar la video identificación para la identificación inicial del solicitante del certificado, sin necesidad de presencia física. Esta es una de las reivindicaciones de todos los Prestadores de Servicios de Certificación Cualificados en España, puesto que dicho método de comprobación de la identidad ya se está utilizando para la emisión de certificados en otros Estados Miembros de la Unión.

A pesar de la novedad, habrá que esperar a la publicación de la Orden Ministerial sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados, y que los Prestadores de Servicios de Certificación cualificados se adapten sus sistemas de emisión y cumplan con los requisitos que aporten una seguridad o fiabilidad equivalente a la presencia física. Igualmente, deberán incluir en sus procedimientos, en su Declaración de Prácticas de Certificación y en sus Políticas de Certificados la utilización de esta forma de identificación de sus suscriptores y todo ello deberá ser notificado al Ministerio de Asuntos Económicos y Transformación Digital.

RESPONSABILIDADES PARA EL PRESTADOR

En el Título III de la LSEC se regulan las obligaciones y responsabilidades de los prestadores de servicios electrónicos de confianza, y el Título IV, establece un régimen de supervisión y control muy rígido, que gira en torno al Ministerio de Asuntos Económicos y Transformación Digital como Organismo de Supervisión. El ejercicio de ese control podría derivar en la aplicación del régimen sancionador establecido en el Título V. Entre otras cuestiones:

Se indica de forma expresa que la ley afecta tanto a prestadores públicos como privados de servicios electrónicos de confianza.
En materia de responsabilidad civil, se modifica la cantidad exigida por previsión del riesgo del servicio de confianza cualificado. A este respecto, la norma obliga a los prestadores de servicios de confianza cualificados privados a la contratación de un seguro de responsabilidad civil, aval bancario o seguro de caución, por importe de mínimo 1.500.000 € por la cualificación de un servicio y 500.000 € por cada servicio cualificado adicional.
Asimismo, todos los prestadores de servicios de confianza (ya sean cualificados o no cualificados), deberán adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos de seguridad ante posibles actos deliberados o fortuitos que puedan afectar a sus productos, redes o sistemas, entre las que se encuentran la notificación al órgano de supervisión cualquier incidente o violación de la seguridad o pérdida de integridad con impacto en el servicio prestado. En línea con eIDAS, esta comunicación deberá realizarse en un plazo máximo de 24 horas desde que se tiene conocimiento del incidente.
En línea con el Reglamento eIDAS y, a diferencia de la antigua ley 59/2003 que regulaba la conservación de la información del servicio desde la expedición del certificado, la nueva especifica que deberá conservarse por parte de los prestadores cualificados dicha información durante 15 años desde la extinción del certificado o la finalización del servicio prestado.
Asimismo, tanto si eres un prestador cualificado como no cualificado, debes poner a disposición del público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita, el estado de validez o revocación de los certificados emitidos, tanto si son cualificados como no cualificados.
Se establece un régimen sancionador para los prestadores de servicios electrónicos de confianza dependiendo de la gravedad de la infracción, pudiendo llegar hasta los 300.000 € de multa y vendrán impuestas por el Ministerio de Asuntos Económicos y Transformación Digital. Asimismo, igual que la norma antigua, establece límites a dicha responsabilidad, por ejemplo, en caso de falta de veracidad de los datos proporcionados por sus clientes o en caso de que no se comunique su modificación o por usos negligentes de certificados.

CONCLUSIÓN

Tras varios años esperando la nueva ley, no sorprende por ser innovadora, puesto que el legislador no aprovecha la oportunidad para definir otros servicios electrónicos de confianza que puedan ser cualificados a nivel nacional, pero al menos despeja las dudas sobre aquellos puntos que no habían sido regulados o que, estando regulados en la ley anterior, no eran acordes con los propósitos del Reglamento eIDAS.

Gracias a la variedad de servicios electrónicos de confianza que tenemos hoy en día, se abre un mundo de posibilidades y combinaciones de los mismos que pueden dar como resultado productos altamente innovadores. Por lo que la armonización de la norma nacional con la europea resultaba necesaria, no solo por la consolidación del marco normativo en España en esta materia, sino por suponer un avance y adaptación de los criterios establecidos por la normativa de referencia, el Reglamento eIDAS.

Quedamos a su disposición para cualquier duda al respecto.

________

Área IT, Privacidad y Seguridad

+ 34 917 81 61 60

info@ecija.com

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

ASPECTOS DESTACADOS QUE REGULA LA LEY

RESPONSABILIDADES PARA EL PRESTADOR

CONCLUSIÓN