Identificación firma electrónica

Descarga el PDF.

El 12 de noviembre se publicó la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (en adelante, “LSEC”) tras más de cuatro años de elaboración y habiendo estado incluida como objetivo prioritario en el Plan Anual Normativo de la Administración General del Estado para el año 2018 dentro de las normas relativas a la “Protección de Derechos”.

 Desde la publicación del Reglamento Europeo 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (en adelante, eIDAS), que establece un régimen específico para los servicios electrónicos de confianza, el Gobierno de España era consciente de la necesidad de adaptar su normativa nacional en materia de identificación y firma (Ley 59/2003 de firma electrónica) a esta nueva regulación. Dicha ley de firma electrónica se encontraba obsoleta y quedó desplazada en aquello que contradecía al Reglamento eIDAS, por lo que era necesaria la regulación de una nueva norma ya que existían preceptos inaplicables, como la emisión de certificados de firma electrónica a personas jurídicas.

Con el impulso de la plena aplicación del Reglamento eIDAS en el año 2016, en España se inició la elaboración de una norma que, por un lado, supondría la armonización de la legislación nacional vigente, y por otro, complementaría al Reglamento eIDAS en aquellos aspectos que no han quedado recogidos en la norma y que el propio Reglamento prevé su desarrollo por los ordenamientos jurídicos nacionales. La propia denominación de la Ley nacional publicada, cuyo análisis ocupa esta nota, refleja esta realidad.

 ASPECTOS QUE DEROGA LA LEY

  1. No emisión de certificados de firma a favor de personas jurídicas: en línea con eIDAS, únicamente las personas físicas están capacitadas para firmar electrónicamente, por lo que la ley no prevé la emisión de certificados de firma electrónica a personas jurídicas o entidades sin personalidad jurídica, quedando, por tanto, reservados a las personas jurídicas los sellos electrónicos, que permiten garantizar la autenticidad e integridad de documentos.
  2. Derogación de la figura de Tercero de Confianza: se deroga el artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, relativo a Terceros de Confianza. Esto se debe a que los servicios que ofrecen este tipo de proveedores se encuentran dentro de los servicios que regula el Reglamento eIDAS, en especial, los servicios de entrega electrónica certificada, que supone la transmisión de datos entre terceras partes y aporta evidencias del envío, la transmisión y la recepción de los datos, así como los servicios de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados.

Esto supone que todos los Terceros de Confianza que deseen seguir considerándose como tal, deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital, en el plazo de 3 meses desde la publicación de la Ley (11 de noviembre), para que sean incluidos en la lista de Prestadores de Servicios de Confianza debiendo aportar, entre otra documentación, la Declaración de Prácticas de sus servicios electrónicos de confianza.

ASPECTOS DESTACADOS QUE REGULA LA LEY

La Ley 6/2020 mantiene parte del contenido del articulado de la Ley 59/2003 y entra a regular los siguientes aspectos:

  1. Por un lado, refuerza los efectos jurídicos de los servicios cualificados, previendo una presunción “iuris tantum” en cuanto a la validez de los documentos electrónicos, presuponiendo la validez del servicio de confianza cualificado siempre que se encuentre en la lista de servicios de confianza cualificados del Ministerio Asuntos Económicos y Transformación Digital. En caso de impugnación de la autenticidad o integridad de un documento electrónico vinculado a un servicio cualificado, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. La inclusión de este nuevo régimen supone en paralelo la modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil en relación con la fuerza probatoria de los documentos electrónicos privados.
  2. En relación con la identidad y atributos del titular de los certificados cualificados, deberá consignarse la información relativa al proceso de identificación, incluyendo para los certificados cualificados expedidos a personas físicas el DNI, NIE o NIF, salvo en los casos en los que el titular carezca de todos ellos para lo que, excepcionalmente, se permite el uso de otro código o número identificativo, siempre que le identifique de forma unívoca y permanente en el tiempo. Los expedidos a personas jurídicas o entidades sin personalidad jurídica se identificarán mediante su denominación social y el NIF; y en defecto de este, han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.
  3. Por otro lado, con la publicación de la Ley quedará abierta la posibilidad de que los Prestadores de Servicios de Confianza en España puedan utilizar la video identificación para la identificación inicial del solicitante del certificado, sin necesidad de presencia física. Esta es una de las reivindicaciones de todos los Prestadores de Servicios de Certificación Cualificados en España, puesto que dicho método de comprobación de la identidad ya se está utilizando para la emisión de certificados en otros Estados Miembros de la Unión.

A pesar de la novedad, habrá que esperar a la publicación de la Orden Ministerial sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados, y que los Prestadores de Servicios de Certificación cualificados se adapten sus sistemas de emisión y cumplan con los requisitos que aporten una seguridad o fiabilidad equivalente a la presencia física. Igualmente, deberán incluir en sus procedimientos, en su Declaración de Prácticas de Certificación y en sus Políticas de Certificados la utilización de esta forma de identificación de sus suscriptores y todo ello deberá ser notificado al Ministerio de Asuntos Económicos y Transformación Digital.

RESPONSABILIDADES PARA EL PRESTADOR

En el Título III de la LSEC se regulan las obligaciones y responsabilidades de los prestadores de servicios electrónicos de confianza, y el Título IV, establece un régimen de supervisión y control muy rígido, que gira en torno al Ministerio de Asuntos Económicos y Transformación Digital como Organismo de Supervisión. El ejercicio de ese control podría derivar en la aplicación del régimen sancionador establecido en el Título V. Entre otras cuestiones:

  1. Se indica de forma expresa que la ley afecta tanto a prestadores públicos como privados de servicios electrónicos de confianza.
  2. En materia de responsabilidad civil, se modifica la cantidad exigida por previsión del riesgo del servicio de confianza cualificado. A este respecto, la norma obliga a los prestadores de servicios de confianza cualificados privados a la contratación de un seguro de responsabilidad civil, aval bancario o seguro de caución, por importe de mínimo 1.500.000 € por la cualificación de un servicio y 500.000 € por cada servicio cualificado adicional.
  3. Asimismo, todos los prestadores de servicios de confianza (ya sean cualificados o no cualificados), deberán adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos de seguridad ante posibles actos deliberados o fortuitos que puedan afectar a sus productos, redes o sistemas, entre las que se encuentran la notificación al órgano de supervisión cualquier incidente o violación de la seguridad o pérdida de integridad con impacto en el servicio prestado. En línea con eIDAS, esta comunicación deberá realizarse en un plazo máximo de 24 horas desde que se tiene conocimiento del incidente.
  4. En línea con el Reglamento eIDAS y, a diferencia de la antigua ley 59/2003 que regulaba la conservación de la información del servicio desde la expedición del certificado, la nueva especifica que deberá conservarse por parte de los prestadores cualificados dicha información durante 15 años desde la extinción del certificado o la finalización del servicio prestado.
  5. Asimismo, tanto si eres un prestador cualificado como no cualificado, debes poner a disposición del público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita, el estado de validez o revocación de los certificados emitidos, tanto si son cualificados como no cualificados.
  6. Se establece un régimen sancionador para los prestadores de servicios electrónicos de confianza dependiendo de la gravedad de la infracción, pudiendo llegar hasta los 300.000 € de multa y vendrán impuestas por el Ministerio de Asuntos Económicos y Transformación Digital. Asimismo, igual que la norma antigua, establece límites a dicha responsabilidad, por ejemplo, en caso de falta de veracidad de los datos proporcionados por sus clientes o en caso de que no se comunique su modificación o por usos negligentes de certificados.

CONCLUSIÓN

Tras varios años esperando la nueva ley, no sorprende por ser innovadora, puesto que el legislador no aprovecha la oportunidad para definir otros servicios electrónicos de confianza que puedan ser cualificados a nivel nacional, pero al menos despeja las dudas sobre aquellos puntos que no habían sido regulados o que, estando regulados en la ley anterior, no eran acordes con los propósitos del Reglamento eIDAS.

Gracias a la variedad de servicios electrónicos de confianza que tenemos hoy en día, se abre un mundo de posibilidades y combinaciones de los mismos que pueden dar como resultado productos altamente innovadores. Por lo que la armonización de la norma nacional con la europea resultaba necesaria, no solo por la consolidación del marco normativo en España en esta materia, sino por suponer un avance y adaptación de los criterios establecidos por la normativa de referencia, el Reglamento eIDAS.

Quedamos a su disposición para cualquier duda al respecto.

________

Área IT, Privacidad y Seguridad

+ 34 917 81 61 60

info@ecija.com

www.ecija.com

download-pdf DESCARGA PDF