El Consejo de Ministros del 18 de febrero de 2020 ha aprobado el Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

La elaboración de esta norma estaba prevista en el Plan Anual Normativo de la Administración General del Estado publicado el Jueves 7 de diciembre de 2017. En el Consejo de Ministros del viernes 6 de abril de 2018 también se hizo referencia a esta norma .

Este Proyecto de Ley se refiere a servicios electrónicos de confianza como la firma y sello electrónicos de personas físicas y jurídicas, o el sello de tiempo electrónico, que son utilizados habitualmente en las relaciones telemáticas de ciudadanos, empresas y Administraciones públicas.

El texto se ha publicado el viernes 28 de febrero de 2010  en el sitio web del Congreso de los Diputados.

Se transcribe a continuación con algunos ajustes de formato:

BOLETÍN OFICIAL DE LAS CORTES GENERALES – CONGRESO DE LOS DIPUTADOS
XIV LEGISLATURA – SERIE A: PROYECTOS DE LEY – 28 DE FEBRERO DE 2020 – Núm. 4-1

121/000004 Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

La Mesa de la Cámara, en su reunión del día de hoy, ha adoptado el acuerdo que se indica respecto del asunto de referencia.

(121) Proyecto de ley.

Autor: Gobierno.

Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

Acuerdo:

Encomendar su aprobación con competencia legislativa plena, conforme al artículo 148 del Reglamento, a la Comisión de Asuntos Económicos y Transformación Digital. Asimismo, publicar en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas, por un período de quince días hábiles, que finaliza el día 17 de marzo de 2020.

En ejecución de dicho acuerdo se ordena la publicación de conformidad con el artículo 97 del Reglamento de la Cámara.

Palacio del Congreso de los Diputados, 25 de febrero de 2020.-P.D. El Secretario General del Congreso de los Diputados, Carlos Gutiérrez Vicén.

PROYECTO DE LEY REGULADORA DE DETERMINADOS ASPECTOS DE LOS SERVICIOS ELECTRÓNICOS DE CONFIANZA

Exposición de motivos

I

Desde el 1 de julio de 2016 es de aplicación el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

La Ley 59/2003, de 19 de diciembre, de firma electrónica, que supuso la transposición al ordenamiento jurídico español de la derogada Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, se encuentra desde entonces jurídicamente desplazada en todo aquello regulado por el citado reglamento. El objeto de esta ley es, por tanto, adaptar nuestro ordenamiento jurídico al marco regulatorio de la Unión Europea, evitando así la existencia de vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de servicios electrónicos de confianza.

La presente ley no realiza una regulación sistemática de los servicios electrónicos de confianza, que ya han sido legislados por el Reglamento (UE) 910/2014, el cual, por respeto al principio de primacía del Derecho de la Unión Europea, no debe reproducirse total o parcialmente. La función de esta ley es complementarlo en aquellos aspectos concretos que el reglamento no ha armonizado y cuyo desarrollo prevé en los ordenamientos de los diferentes Estados miembros, cuyas disposiciones han de ser interpretadas de acuerdo con él.

II

En lugar de una revisión de la Directiva 1999/93/CE, la elección de un reglamento como instrumento legislativo por el legislador europeo, de aplicación directa en los Estados miembros, vino motivada por la necesidad de reforzar la seguridad jurídica en el seno de la Unión, terminando con la dispersión normativa provocada por las transposiciones de la citada directiva en los ordenamientos jurídicos internos a través de leyes nacionales, que había provocado una importante fragmentación e imposibilitado la prestación de servicios transfronterizos en el mercado interior, agravada por las diferencias en los sistemas de supervisión aplicados en cada Estado miembro.

Así, mediante el Reglamento (UE) 910/2014 se persigue regular en un mismo instrumento normativo de aplicación directa en los Estados miembros dos realidades, la identificación y los servicios de confianza electrónicos en sentido amplio, armonizando y facilitando el uso transfronterizo de los servicios en línea, públicos y privados, así como el comercio electrónico en la UE, contribuyendo así al desarrollo del mercado único digital.

Por una parte, en el ámbito de la identificación electrónica, el reglamento instaura la aceptación mutua, para el acceso a los servicios públicos en línea, de los sistemas nacionales de identificación electrónica que hayan sido notificados a la Comisión Europea por parte de los Estados miembros, con objeto de facilitar la interacción telemática segura con las Administraciones públicas y su utilización para la realización de trámites transfronterizos, eliminando esta barrera electrónica que excluía a los ciudadanos del pleno disfrute de los beneficios del mercado interior.

Por otra parte, introduce la regulación armónica de nuevos servicios electrónicos cualificados de confianza, adicionales a la tradicional firma electrónica, tales como el sello electrónico de persona jurídica, el servicio de validación de firmas y sellos cualificados, el servicio de conservación de firmas y sellos cualificados, el servicio de sellado electrónico de tiempo, el servicio de entrega electrónica certificada y el servicio de expedición de certificados de autenticación web, que pueden ser combinados entre sí para la prestación de servicios complejos e innovadores.

Se establece un régimen jurídico específico para los citados servicios electrónicos de confianza cualificados, consecuente con las elevadas exigencias de supervisión y seguridad que soportan, y cuyo reflejo es la singular relevancia probatoria que poseen respecto de los servicios no cualificados. Se refuerza así la seguridad jurídica de las transacciones electrónicas entre empresas, particulares y Administraciones públicas.

III

La aplicabilidad directa del reglamento no priva a los Estados miembros de toda capacidad normativa sobre la materia regulada, es más, aquellos están obligados a adaptar los ordenamientos nacionales para garantizar que aquella cualidad se haga efectiva. Esta adaptación puede exigir tanto la modificación o derogación de normas existentes, como la adopción de nuevas disposiciones llamadas a completar la regulación europea.

En tal sentido, el objetivo de la presente ley, como se indicaba ut supra, es complementar el Reglamento (UE) 910/2014 en aquellos aspectos que este no ha armonizado y que se dejan al criterio de los Estados miembros. Por tanto, la ley se abstiene de reproducir las previsiones del reglamento, abordando únicamente aquellas cuestiones que la norma europea remite a la decisión de los Estados miembros o que no se encuentran armonizadas, adquiriendo la regulación coherencia y sentido en el marco de la normativa europea.

Así, en virtud del principio de proporcionalidad, esta ley contiene la regulación imprescindible para cubrir aquellos aspectos previstos en el Reglamento (UE) 910/2014, como es el caso, entre otros, del régimen de previsión de riesgo de los prestadores cualificados, el régimen sancionador, la comprobación de la identidad y atributos de los solicitantes de un certificado cualificado, la inclusión de requisitos adicionales a nivel nacional para certificados cualificados tales como identificadores nacionales, o su tiempo máximo de vigencia, así como las condiciones para la suspensión de los certificados.

El Reglamento (UE) 910/2014 garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general. En este aspecto, se modifica la regulación anterior al atribuir a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria. A este respecto, se simplifica la prueba, pues basta la mera constatación de la inclusión del citado servicio en la lista de confianza de prestadores cualificados de servicios electrónicos regulada en el artículo 22 del Reglamento (UE) 910/2014.

Por lo que respecta a los certificados electrónicos, se introducen en la ley varias disposiciones relativas a la expedición y contenido de los certificados cualificados, cuyo tiempo máximo de vigencia se mantiene en cinco años. En este sentido, no se permite a los prestadores de servicios el denominado “encadenamiento” en la renovación de certificados cualificados utilizando uno vigente, más que una sola vez, por razones de seguridad en el tráfico jurídico. Sin perjuicio de lo anterior, el Reglamento (UE) 910/2014 contempla la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física. Haciéndose eco de esta previsión, la ley habilita a que mediante una orden ministerial se regulen las condiciones y requisitos técnicos que lo harían posible.

Los certificados cualificados expedidos a personas físicas incluirán el número de documento nacional de identidad, número de identidad de extranjero o número de identificación fiscal, salvo en los casos en los que el titular carezca de todos ellos. La misma regla se aplica en cuanto al número de identificación fiscal de las personas jurídicas o sin personalidad jurídica titulares de certificados cualificados, que en defecto de este han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

En lo que se refiere a las obligaciones de los prestadores, la ley establece el requisito de constitución de una garantía económica para la prestación de servicios cualificados de confianza. Se fija una cuantía mínima única de 1.500.000 euros, que se incrementa en 500.000 euros por cada tipo de servicio adicional que se preste, lo que se estima suficiente para cubrir los riesgos derivados del servicio, tiene en cuenta la diversidad de servicios en el mercado y no penaliza a los prestadores con mayor oferta.

Una de las exigencias del Reglamento (UE) 910/2014 se centra en garantizar la seguridad de los servicios de confianza frente a actos deliberados o fortuitos que afecten a sus productos, redes o sistemas de información. En este sentido, todos los prestadores de servicios de confianza, cualificados y no cualificados, están sometidos a la obligación de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado. Esta ley sanciona el incumplimiento de las citadas obligaciones.

En respuesta a la evolución de la tecnología y las demandas del mercado, el Reglamento (UE) 910/2014 abre la posibilidad de prestación de servicios innovadores basados en soluciones móviles y en la nube, como la firma y sello electrónicos remotos, en los que el entorno es gestionado por un prestador de servicios de confianza en nombre del titular. A fin de garantizar que estos servicios electrónicos obtengan el mismo reconocimiento jurídico que aquellos utilizados en un entorno completamente gestionado por el usuario, estos prestadores deben aplicar procedimientos de seguridad específicos y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, para garantizar que el entorno es fiable y se utiliza bajo el control exclusivo del titular. Se pretende alcanzar, así, un equilibrio entre la facilidad para el acceso y el uso de los servicios, sin detrimento de la seguridad.

IV

Esta ley deroga la Ley 59/2003, de 19 de diciembre, de firma electrónica, y con ella aquellos preceptos incompatibles con el Reglamento (UE) 910/2014.

Así sucede con los antiguos certificados de firma de personas jurídicas, introducidos por la citada Ley de firma electrónica. El nuevo paradigma instaurado por el mencionado reglamento implica que únicamente las personas físicas están capacitadas para firmar electrónicamente, por lo que no prevé la emisión de certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica. A éstas se reservan los sellos electrónicos, que permiten garantizar la autenticidad e integridad de documentos tales como facturas electrónicas. Sin perjuicio de lo anterior, las personas jurídicas podrán actuar por medio de los certificados de firma de aquellas personas físicas que legalmente les representen.

La ley permite la posibilidad de que el órgano supervisor mantenga un servicio de difusión de información sobre los prestadores cualificados que operan en el mercado, con el fin de proporcionar a los usuarios información útil sobre los servicios que ofrecen en el desarrollo de su actividad.

V

Si bien la prestación de servicios electrónicos de confianza se realiza en régimen de libre competencia, el Reglamento (UE) 910/2014 prevé, para los servicios cualificados, un sistema de verificación previa de cumplimiento de los requisitos que en él se imponen. Así, se diseña un sistema mixto de colaboración público-privada para la supervisión de los prestadores cualificados, pues su inclusión en la lista de confianza, que permite iniciar esa actividad, debe basarse en un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado por un organismo nacional de acreditación, establecido en alguno de los Estados miembros de la Unión Europea. A partir de entonces, los prestadores cualificados deberán remitir el citado informe al menos cada veinticuatro meses.

Por su parte, los prestadores de servicios no cualificados pueden prestar servicios sin verificación previa de cumplimiento de requisitos, sin perjuicio de su sujeción a las potestades de seguimiento y control posterior de la Administración. No obstante, deberán comunicar al órgano supervisor la prestación del servicio en el plazo de tres meses desde que inicien su actividad, a los meros efectos de conocer su existencia y posibilitar su supervisión.

Por último, se define el régimen sancionador aplicable a los prestadores cualificados y no cualificados de servicios electrónicos de confianza, sin perjuicio de la posibilidad ya prevista en el artículo 20.3 del Reglamento (UE) 910/2014 de retirar la cualificación al prestador o servicio que presta, y su exclusión de la lista de confianza, en determinados supuestos. Asimismo, se han adecuado las cuantías de las sanciones, reduciéndose a la mitad la máxima imponible respecto a la legislación anterior, y se ha previsto la división en tramos de la horquilla sancionadora para la determinación de la multa imponible, en atención a los criterios de graduación concurrentes.

VI

Mediante la presente ley se deroga también el artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, referido a los terceros de confianza, debido a que los servicios ofrecidos por este tipo de proveedores se encuentran subsumidos en los tipos regulados por el Reglamento (UE) 910/2014, fundamentalmente en los servicios de entrega electrónica certificada y de conservación de firmas y sellos electrónicos.

Asimismo, esta ley modifica la Ley 56/2007, de 28 de diciembre, de medidas de impulso de la sociedad de la información, de forma que las empresas que presten servicios al público en general de especial trascendencia económica deberán disponer de un medio seguro de interlocución telemática, no necesariamente basado en certificados electrónicos. Con ello, se flexibiliza la norma y se da cabida a otros medios de identificación generalmente usados en el sector privado.

Por último, se modifica la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, con objeto de adaptarla al nuevo marco regulatorio de los servicios electrónicos de confianza definido en esta ley y en el Reglamento (UE) 910/2014.

Por otro lado, se mantiene en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica, el cual constituye desarrollo reglamentario parcial de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

La ley se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, telecomunicaciones y seguridad pública, conforme al artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución Española. El artículo 3 y la disposición final segunda se dictan, además, al amparo de lo previsto en el artículo 149.1.6.ª de la Constitución, el cual atribuye al Estado competencia exclusiva en materia de legislación procesal. Por su parte, el apartado 3 del artículo 11 y la disposición adicional segunda se dictan al amparo de lo previsto en el artículo 149.1.18.ª de la Constitución, en relación con la competencia estatal exclusiva sobre las bases del régimen jurídico de las Administraciones públicas y el procedimiento administrativo común.

La presente norma ha sido sometida al procedimiento de información de normas reglamentarias técnicas y de reglamentos relativos a los servicios de la sociedad de la información, previsto en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información, así como el Real Decreto 1337/1999, de 31 de julio, por el que se regula la remisión de información en materia de normas y reglamentaciones técnicas y reglamentos relativos a los servicios de la sociedad de la información.

La ley se adecúa a los principios de buena regulación establecidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En concreto, al tratarse de una norma necesaria para la adaptación del ordenamiento español a la normativa europea se ha dado cumplimiento al principio de necesidad, así como de eficacia, identificándose de manera clara en esta Exposición de Motivos los fines que se persiguen y resultando proporcional a los mismos. Por otro lado, la ley es coherente con el resto del ordenamiento jurídico nacional y europeo, contribuyendo a generar un marco normativo estable, predecible, integrado y claro, siendo su razón última garantizar la seguridad jurídica de los sectores y ciudadanos afectados. Por último, la norma respeta el principio de transparencia en tanto que a lo largo de su elaboración y tramitación se ha posibilitado la participación activa de los potenciales destinatarios, posibilitándose el acceso sencillo a los documentos propios de su proceso de elaboración, en los términos previstos en el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

TÍTULO I

Disposiciones generales

Artículo 1. Objeto de la ley.

La presente ley tiene por objeto regular determinados aspectos de los servicios electrónicos de confianza, como complemento del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Artículo 2. Ámbito de aplicación.

Esta ley se aplicará a los prestadores públicos y privados de servicios electrónicos de confianza establecidos en España.

Así mismo, se aplicará a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.

Artículo 3. Efectos jurídicos de los documentos electrónicos.

1. El documento electrónico será soporte de documentos públicos, administrativos y privados, que tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.

2. La prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Si el servicio fuese cualificado, se estará a lo previsto en el apartado 4 del mismo precepto.

TÍTULO II Certificados electrónicos

Artículo 4. Vigencia y caducidad de los certificados electrónicos.

1. Los certificados electrónicos se extinguen por caducidad a la expiración de su período de vigencia, o mediante revocación por los prestadores de servicios electrónicos de confianza en los supuestos previstos en el artículo siguiente.

2. El período de vigencia de los certificados cualificados no será superior a 5 años.

Dicho período se fijará en atención a las características y tecnología empleada para generar los datos de creación de firma, sello, o autenticación de sitio web.

Artículo 5. Revocación y suspensión de los certificados electrónicos.

1. Los prestadores de servicios electrónicos de confianza extinguirán la vigencia de los certificados electrónicos mediante revocación en los siguientes supuestos:

a) Solicitud formulada por el firmante, la persona física o jurídica representada por este, un tercero autorizado, el creador del sello o el titular del certificado de autenticación de sitio web.

b) Violación o puesta en peligro del secreto de los datos de creación de firma o de sello, o del prestador de servicios de confianza, o de autenticación de sitio web, o utilización indebida de dichos datos por un tercero.

c) Resolución judicial o administrativa que lo ordene.

d) Fallecimiento del firmante; capacidad modificada judicialmente sobrevenida, total o parcial, del firmante; extinción de la personalidad jurídica o disolución del creador del sello en el caso de tratarse de una entidad sin personalidad jurídica, y cambio de nombre de dominio en el supuesto de un certificado de autenticación de sitio web.

e) Terminación de la representación en los certificados electrónicos con atributo de representante. En este caso, tanto el representante como la persona o entidad representada están obligados a solicitar la revocación de la vigencia del certificado en cuanto se produzca la modificación o extinción de la citada relación de representación.

f) Cese en la actividad del prestador de servicios de confianza salvo que la gestión de los certificados electrónicos expedidos por aquel sea transferida a otro prestador de servicios de confianza.

g) Descubrimiento de la falsedad o inexactitud de los datos aportados para la expedición del certificado y que consten en él, o alteración posterior de las circunstancias verificadas para la expedición del certificado, como las relativas al cargo.

h) En caso de que se advierta que los mecanismos criptográficos utilizados para la generación de los certificados no cumplen los estándares de seguridad mínimos necesarios para garantizar su seguridad.

i) Cualquier otra causa lícita prevista en la declaración de prácticas del servicio de confianza.

2. Los prestadores de servicios de confianza suspenderán la vigencia de los certificados electrónicos en los supuestos previstos en los párrafos a), c) y h) del apartado anterior, así como en los casos de duda sobre la concurrencia de las circunstancias previstas en sus párrafos b) y g), siempre que sus declaraciones de prácticas de certificación prevean la posibilidad de suspender los certificados.

3. En su caso, y de manera previa o simultánea a la indicación de la revocación o suspensión de un certificado electrónico en el servicio de consulta sobre el estado de validez o revocación de los certificados por él expedidos, el prestador de servicios electrónicos de confianza informará al titular acerca de esta circunstancia, especificando los motivos y la fecha y la hora en que el certificado quedará sin efecto.

En los casos de suspensión, la vigencia del certificado se extinguirá si transcurrido el plazo de duración de la suspensión, el prestador no la hubiera levantado.

Artículo 6. Identidad y atributos de los titulares de certificados cualificados.

1. La identidad del titular en los certificados cualificados se consignará de la siguiente forma:

a) En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de documento nacional de identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos, siempre que le identifique de forma unívoca y permanente en el tiempo.

b) En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

2. Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada en las formas previstas en el apartado anterior, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

1. La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el documento nacional de identidad, pasaporte u otros medios admitidos en Derecho. Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial.

2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

3. La forma en que se ha procedido a identificar a la persona física solicitante podrá constar en el certificado. En otro caso, los prestadores de servicios de confianza deberán colaborar entre sí para determinar cuándo se produjo la última personación.

4. En el caso de certificados cualificados de sello electrónico y de firma electrónica con atributo de representante, los prestadores de servicios de confianza comprobarán, además de los datos señalados en los apartados anteriores, los datos relativos a la constitución y personalidad jurídica, y a la persona o entidad representada, respectivamente, así como la extensión y vigencia de las facultades de representación del solicitante mediante los documentos, públicos si resultan exigibles, que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público si así resulta exigible. Esta comprobación podrá realizarse, asimismo, mediante consulta en el registro público en el que estén inscritos los documentos de constitución y de apoderamiento, pudiendo emplear los medios telemáticos facilitados por los citados registros públicos.

5. Cuando el certificado cualificado contenga otras circunstancias personales o atributos del solicitante, como su condición de titular de un cargo público, su pertenencia a un colegio profesional o su titulación, estas deberán comprobarse mediante los documentos oficiales que las acrediten, de conformidad con su normativa específica.

6. Lo dispuesto en los apartados anteriores podrá no ser exigible cuando la identidad u otras circunstancias permanentes de los solicitantes de los certificados constaran ya al prestador de servicios de confianza en virtud de una relación preexistente, en la que, para la identificación del interesado, se hubiese empleado el medio señalado en el apartado primero y el período de tiempo transcurrido desde la identificación fuese menor de cinco años.

7. Un certificado cualificado expedido de acuerdo con el artículo 24.1 c) del Reglamento (UE) 910/2014 no podrá ser utilizado para la obtención de un nuevo certificado cualificado.

TÍTULO III Obligaciones y responsabilidad de los prestadores de servicios electrónicos de confianza

Artículo 8. Protección de los datos personales.

1. El tratamiento de los datos personales que precisen los prestadores de servicios electrónicos de confianza para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta ley se sujetará a lo dispuesto en la legislación aplicable en materia de protección de datos de carácter personal.

2. Los prestadores de servicios electrónicos de confianza que consignen un pseudónimo en un certificado electrónico deberán constatar la verdadera identidad del titular del certificado y conservar la documentación que la acredite.

3. Dichos prestadores de servicios de confianza estarán obligados a revelar la citada identidad cuando lo soliciten los órganos judiciales y otras autoridades públicas en el ejercicio de funciones legalmente atribuidas, con sujeción a lo dispuesto en la legislación aplicable en materia de protección de datos personales.

Artículo 9. Obligaciones de los prestadores de servicios electrónicos de confianza.

1. Los prestadores de servicios electrónicos de confianza deberán:

a) Publicar información veraz y acorde con esta ley y el Reglamento (UE) 910/2014.

b) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.

En este caso, utilizarán sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, y se aplicarán procedimientos y mecanismos técnicos y organizativos adecuados, para garantizar que el entorno sea fiable y se utilice bajo el control exclusivo del titular del certificado. Además, deberán custodiar y proteger los datos de creación de firma, sello o autenticación de sitio web frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad.

2. Los prestadores de servicios de confianza que expidan certificados electrónicos deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público.

3. Los prestadores cualificados de servicios electrónicos de confianza deberán cumplir las siguientes obligaciones adicionales:

a) El período de tiempo durante el que deberán conservar la información relativa a los servicios prestados de acuerdo con el artículo 24.2 h) del Reglamento (UE) 910/2014, será de 15 años desde la extinción del certificado o la finalización del servicio prestado.

En caso de que expidan certificados cualificados de sello electrónico o autenticación de sitio web a personas jurídicas, los prestadores de servicios de confianza registrarán también la información que permita determinar la identidad de la persona física a la que se hayan entregado los citados certificados, para su identificación en procedimientos judiciales o administrativos.

b) Constituir un seguro de responsabilidad civil por importe mínimo de 1.500.000 euros, excepto si el prestador pertenece al sector público. Si presta más de un servicio cualificado de los previstos en el Reglamento (UE) 910/2014, se añadirán 500.000 euros más por cada tipo de servicio.

La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea coherente con lo dispuesto en el párrafo anterior. Las cuantías y los medios de aseguramiento y garantía establecidos en los dos párrafos anteriores podrán ser modificados mediante real decreto.

c) El prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad. El plan de cese del prestador de servicios puede incluir la transferencia de clientes a otro prestador cualificado, una vez acreditada la ausencia de oposición de los mismos.

Igualmente, comunicará al órgano de supervisión cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga contra él.

d) Enviar el informe de evaluación de la conformidad al Ministerio de Asuntos Económicos y Transformación Digital en los términos previstos en el artículo 20.1 del Reglamento (UE) 910/2014. El incumplimiento de esta obligación conllevará la retirada de la cualificación al prestador y al servicio que éste presta, y su eliminación de la lista de confianza prevista en el artículo 22 del citado reglamento, previo requerimiento al prestador del servicio para que cese en el citado incumplimiento.

Artículo 10. Declaración de prácticas de los servicios electrónicos de confianza.

1. La declaración de prácticas es un documento en el que los prestadores de servicios electrónicos de confianza describen la forma en que prestan el servicio y aseguran el cumplimiento de las obligaciones legalmente exigibles, e informan al público sobre el modo correcto de utilización de sus servicios. La declaración de prácticas estará disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita.

2. En el caso de los servicios de emisión de certificados, la declaración de prácticas describirá las condiciones aplicables a su solicitud y expedición, detallará los términos aplicables a su suspensión y extinción, e informará sobre la existencia de un servicio de consulta sobre su vigencia.

Así mismo, indicará las obligaciones del titular en el uso del certificado, la forma en que han de custodiarse los datos de creación de firma, sello o autenticación de sitio web, y los medios que los protegen, así como cualquier recomendación útil para garantizar una buena utilización del certificado.

Artículo 11. Responsabilidad de los prestadores de servicios electrónicos de confianza.

1. Los prestadores de servicios electrónicos de confianza responderán por los daños y perjuicios que causen a cualquier persona en el ejercicio de su actividad cuando incumplan las obligaciones que les impone esta ley y el Reglamento (UE) 910/2014.

2. Los prestadores de servicios electrónicos de confianza asumirán toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios electrónicos de confianza, incluyendo las actuaciones de comprobación de identidad previas a la expedición de un certificado cualificado.

3. En el caso de los prestadores de servicios electrónicos de confianza que formen parte del sector público y actúen en régimen de derecho administrativo, responderán de conformidad con lo establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Artículo 12. Limitaciones de responsabilidad de los prestadores de servicios electrónicos de confianza.

1. El prestador de servicios electrónicos de confianza no será responsable de los daños y perjuicios ocasionados a la persona a la que ha prestado sus servicios o a terceros de buena fe, si esta incurre en alguno de los supuestos previstos en el Reglamento (UE) 910/2014 o en los siguientes:

a) No haber proporcionado al prestador de servicios de confianza información veraz, completa y exacta para la prestación del servicio de confianza, en particular, sobre los datos que deban constar en el certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada por el prestador de servicios.

b) La falta de comunicación sin demora indebida al prestador de servicios de cualquier modificación de las circunstancias que incidan en la prestación del servicio de confianza, en particular, aquellas reflejadas en el certificado electrónico.

c) Negligencia en la conservación de sus datos de creación de firma, sello o autenticación de sitio web, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de estos o, en su caso, de los medios que den acceso a ellos.

d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma, sello o autenticación de sitio web o, en su caso, de los medios que den acceso a ellos.

e) Utilizar los datos de creación de firma, sello o autenticación de sitio web cuando haya expirado el período de validez del certificado electrónico o el prestador de servicios de confianza le notifique la extinción o suspensión de su vigencia.

2. El prestador de servicios de confianza tampoco será responsable por los daños y perjuicios si el destinatario actúa de forma negligente. Se entenderá que el destinatario actúa de forma negligente cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico, o cuando no verifique la firma o sello electrónico.

3. El prestador de servicios de confianza no será responsable por los daños y perjuicios en caso de inexactitud de los datos que consten en el certificado electrónico si estos le han sido acreditados mediante documento público, inscrito en un registro público si así resulta exigible.

Artículo 13. Inicio de la prestación de servicios electrónicos de confianza no cualificados.

Los prestadores de servicios de confianza no cualificados no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien.

En el mismo plazo deberán comunicar la modificación de los datos inicialmente transmitidos y el cese de su actividad.

Artículo 14. Obligaciones de seguridad de la información.

1. Los prestadores cualificados y no cualificados de servicios electrónicos de confianza notificarán al Ministerio de Asuntos Económicos y Transformación Digital las violaciones de seguridad o pérdidas de la integridad señaladas en el artículo 19.2 del Reglamento (UE) 910/2014, sin perjuicio de su notificación a la Agencia Española de Protección de Datos, a otros organismos relevantes o a las personas afectadas, si procede.

2. Los prestadores de servicios tienen la obligación de tomar las medidas necesarias para resolver los incidentes de seguridad que les afecten.

3. Los prestadores de servicios ampliarán, en un plazo máximo de 1 mes tras la notificación del incidente y, de haber tenido lugar, tras su resolución, la información suministrada en la notificación inicial con arreglo a las directrices y formularios que pueda establecer el Ministerio de Asuntos Económicos y Transformación Digital.

TÍTULO IV Supervisión y control

Artículo 15. Órgano de supervisión.

1. El Ministerio de Asuntos Económicos y Transformación Digital, como órgano de supervisión, controlará el cumplimiento por los prestadores de servicios electrónicos de confianza cualificados y no cualificados que ofrezcan sus servicios al público de las obligaciones establecidas en el Reglamento (UE) 910/2014 y en esta ley.

2. El Ministerio de Asuntos Económicos y Transformación Digital podrá acordar las medidas apropiadas para el cumplimiento del Reglamento (UE) 910/2014 y de esta ley.

En particular, podrá dictar directrices para la elaboración y comunicación de informes y documentos, así como recomendaciones para el cumplimiento de las obligaciones técnicas y de seguridad exigibles a los servicios de confianza, así como sobre requisitos y normas técnicas de auditoría y certificación para la evaluación de la conformidad de los prestadores cualificados de servicios de confianza. Al efecto, se tendrán en consideración las normas, instrucciones, guías y recomendaciones emitidas por el Centro Criptológico Nacional en el marco de sus competencias, así como informes, especificaciones o normas elaboradas por la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) o por organismos de estandarización europeos e internacionales.

Artículo 16. Actuaciones inspectoras.

1. El Ministerio de Asuntos Económicos y Transformación Digital realizará las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control. Los funcionarios adscritos al Ministerio de Asuntos Económicos y Transformación Digital que realicen la inspección tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

2. El Ministerio de Asuntos Económicos y Transformación Digital podrá recurrir a entidades independientes y técnicamente cualificadas para que le asistan en las labores de supervisión y control sobre los prestadores de servicios de confianza que le asigna el Reglamento (UE) 910/2014 y esta ley.

3. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.

Artículo 17. Mantenimiento de la lista de confianza.

1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.

3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.

Artículo 18. Información y colaboración.

1. Los prestadores de servicios de confianza, la entidad nacional de acreditación, los organismos de evaluación de la conformidad, los organismos de certificación y cualquier otra persona o entidad relacionada con el prestador de servicios de confianza, tienen la obligación de facilitar al Ministerio de Asuntos Económicos y Transformación Digital toda la información y colaboración precisas para el ejercicio de sus funciones.

Si el organismo de certificación perteneciera a la Autoridad Nacional de Certificación de la Ciberseguridad o estuviese supervisado por ella, se acordarán con dicha Autoridad los mecanismos de colaboración y el contenido de la información necesaria.

Los prestadores de servicios de confianza deberán permitir a sus funcionarios o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.6 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquellas.

2. La información referente a los prestadores cualificados de servicios de confianza podrá ser objeto de publicación en la dirección de Internet del Ministerio de Asuntos Económicos y Transformación Digital para su difusión y conocimiento.

3. A más tardar el 1 de febrero de cada año, los prestadores cualificados de servicios de confianza remitirán al Ministerio de Asuntos Económicos y Transformación Digital un informe sobre sus datos de actividad del año civil precedente, con objeto de cumplimiento por parte de este de las obligaciones de información a la Comisión Europea.

4. El Ministerio de Asuntos Económicos y Transformación Digital informará a la Agencia Española de Protección de Datos en caso de resultar infringidas las normas sobre protección de datos de carácter personal, así como sobre los incidentes en materia de seguridad que impliquen violaciones de los datos de carácter personal.

TÍTULO V Infracciones y sanciones

Artículo 19. Infracciones.

1. Las infracciones de los preceptos del Reglamento (UE) 910/2014 y de esta ley se clasifican en muy graves, graves y leves.

2. Son infracciones muy graves:

a) La comisión de una infracción grave en el plazo de dos años desde que hubiese sido sancionado por una infracción grave de la misma naturaleza, contados desde que recaiga la resolución sancionadora firme.

b) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta ley, cuando ello afecte a la mayoría de los certificados cualificados expedidos en el año anterior al inicio del procedimiento sancionador o desde el inicio de la actividad del prestador si este periodo es menor.

3. Son infracciones graves:

a) La resistencia, obstrucción, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta ley.

b) Actuar en el mercado como prestador cualificado de servicios de confianza, ofrecer servicios de confianza como cualificados o utilizar la etiqueta de confianza “UE” sin haber obtenido la cualificación de los citados servicios.

c) En caso de que el prestador expida certificados electrónicos, almacenar o copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.

d) No proteger adecuadamente los datos de creación de firma, sello o autenticación de sitio web cuya gestión se le haya encomendado en la forma establecida en el artículo 9.1 b).

e) No registrar o conservar la información a la que se refiere el artículo 9.3 a).

f) El incumplimiento de la obligación de notificación de incidentes establecida en el artículo 19.2 del Reglamento (UE) 910/2014, en los términos previstos en el artículo 14 de esta ley.

g) En caso de prestadores cualificados de servicios de confianza, el incumplimiento de alguna de las obligaciones establecidas en los artículos 24.2, letras b), c), d), e), f), g), h), y k), 24.3 y 24.4 del Reglamento (UE) 910/2014, con las precisiones establecidas, en su caso, por esta ley.

h) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta ley, cuando no constituya infracción muy grave.

i) La ausencia de adopción de medidas, o la adopción de medidas insuficientes, para la resolución de los incidentes de seguridad en los productos, redes y sistemas de información, en el plazo de diez días desde que aquellos se hubieren producido.

j) El incumplimiento de las resoluciones dictadas por el Ministerio de Asuntos Económicos y Transformación Digital para requerir a un prestador de servicios de confianza que corrija cualquier incumplimiento de los requisitos establecidos en esta ley y en el Reglamento (UE) 910/2014.

k) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control, a partir del segundo requerimiento.

l) No cumplir con las obligaciones de constatar la verdadera identidad del titular de un certificado electrónico y de conservar la documentación que la acredite, en caso de consignación de un pseudónimo.

m) El incumplimiento por parte de los prestadores cualificados y no cualificados de servicios de confianza de la obligación establecida en el artículo 19.1 del Reglamento (UE) 910/2014 de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que presten.

n) No extinguir la vigencia de los certificados electrónicos en los supuestos señalados en esta ley.

o) La prestación de servicios cualificados careciendo del correspondiente seguro obligatorio, en los términos previstos en el artículo 9.3 b) de esta ley.

4. Constituyen infracciones leves:

a) Publicar información no veraz o no acorde con esta ley y el Reglamento (UE) 910/2014.

b) No comunicar el inicio de actividad, su modificación o cese por los prestadores de servicios no cualificados en el plazo establecido en el artículo 13.

c) El incumplimiento por los prestadores cualificados de servicios de confianza de alguna de las obligaciones establecidas en el artículo 24.2, letras a) e i) del Reglamento (UE) 910/2014.

d) El incumplimiento por los prestadores cualificados de servicios de confianza de su obligación de remitir un informe anual de actividad al Ministerio de Asuntos Económicos y Transformación Digital antes del 1 de febrero de cada año.

e) El incumplimiento del deber de comunicación establecido en el artículo 9.3 c).

f) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control.

Artículo 20. Sanciones.

1. Por la comisión de infracciones recogidas en el artículo anterior, se impondrán al infractor las siguientes sanciones:

a) Por la comisión de infracciones muy graves, una multa por importe de 150.001 hasta 300.000 euros.

b) Por la comisión de infracciones graves, una multa por importe de 50.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, una multa por importe de hasta 50.000 euros.

2. La cuantía de las sanciones que se impongan se determinará aplicando una graduación de importe mínimo, medio y máximo a cada nivel de infracción, teniendo en cuenta lo siguiente:

a) El grado de culpabilidad o la existencia de intencionalidad.

b) La continuidad o persistencia en la conducta infractora.

c) La naturaleza y cuantía de los perjuicios causados.

d) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme en vía administrativa.

e) Volumen de facturación del prestador responsable.

f) Número de personas afectadas por la infracción.

g) Gravedad del riesgo generado por la conducta.

h) Las acciones realizadas por el prestador encaminadas a paliar los efectos o consecuencias de la infracción.

3. Las resoluciones sancionadoras por la comisión de infracciones muy graves serán publicadas en el sitio de Internet del Ministerio de Asuntos Económicos y Transformación Digital, con indicación, en su caso, de los recursos interpuestos contra ellas.

Artículo 21. Potestad sancionadora.

La imposición de sanciones por el incumplimiento de lo previsto en esta ley corresponderá, en el caso de infracciones muy graves, a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, a la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Disposición adicional primera. Fe pública y servicios electrónicos de confianza.

Lo dispuesto en esta ley no sustituye ni modifica las normas que regulan las funciones que corresponden a los funcionarios que tengan legalmente atribuida la facultad de dar fe en documentos en lo que se refiere al ámbito de sus competencias.

Disposición adicional segunda. Efectos jurídicos de los sistemas utilizados en las Administraciones Públicas.

Todos los sistemas de identificación, firma y sello electrónico previstos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrán plenos efectos jurídicos.

Disposición adicional tercera. Documento Nacional de Identidad y sus certificados electrónicos.

1. El documento nacional de identidad electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y permite la firma electrónica de documentos

2. Todas la personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del Documento Nacional de Identidad para acreditar la identidad y los demás datos personales del titular que consten en el mismo, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos.

3. Los órganos competentes del Ministerio del Interior para la expedición del Documento Nacional de Identidad cumplirán las obligaciones que la presente ley impone a los prestadores de servicios electrónicos de confianza que expidan certificados cualificados.

4. Sin perjuicio de la aplicación de la normativa vigente en materia del Documento Nacional de Identidad en todo aquello que se adecúe a sus características particulares, el Documento Nacional de Identidad se regirá por su normativa específica.

Disposición adicional cuarta. Secreto de la identidad de los miembros del Centro Nacional de Inteligencia.

Lo dispuesto en los artículos 7 y 8 se entenderá sin perjuicio de lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, en relación con la obligación de guardar secreto sobre la identidad de sus miembros.

Disposición transitoria primera. Comunicación de actividad por prestadores de servicios no cualificados ya existentes.

Los prestadores de servicios no cualificados que ya vinieran prestando servicios deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses a contar desde la entrada en vigor de esta ley.

Se exceptúan aquellos que hubieran comunicado los servicios prestados al Ministerio de Asuntos Económicos y Transformación Digital antes de la entrada en vigor de esta ley.

Disposición transitoria segunda. Desarrollo reglamentario del Documento Nacional de Identidad.

Hasta que se desarrolle reglamentariamente el Documento Nacional de Identidad, se mantendrá en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta ley, y en particular:

a) La Ley 59/2003, de 19 de diciembre, de firma electrónica.

b) El artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

c) La Orden del Ministerio de Fomento de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

Disposición final primera. Modificación de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Se modifica el apartado 1 del artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, que queda redactado como sigue:

“1. Sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio seguro de interlocución telemática que les permita la realización de, al menos, los siguientes trámites:

a) Contratación electrónica de servicios, suministros y bienes, la modificación y finalización o rescisión de los correspondientes contratos, así como cualquier acto o negocio jurídico entre las partes, sin perjuicio de lo establecido en la normativa sectorial.

b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.

d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.”

Disposición final segunda. Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

Uno. Se modifica el apartado tres del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil que queda redactado en los siguientes términos:

“3. Cuando la parte a quien interese la eficacia de un documento electrónico lo solicite o se impugne su autenticidad, integridad, precisión de fecha y hora u otras características del documento electrónico que un servicio electrónico de confianza no cualificado de los previstos en el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, permita acreditar, se procederá con arreglo a lo establecido en el apartado 2 del presente artículo y en el Reglamento (UE) n.º 910/2014.”

Dos. Se añade un apartado cuatro al citado artículo 326, con el siguiente tenor:

“4. Si se hubiera utilizado algún servicio de confianza cualificado de los previstos en el Reglamento citado en el apartado anterior, se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente si figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados.

Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 300 a 1200 euros.”

Disposición final tercera. Título competencial.

Esta ley se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, telecomunicaciones y seguridad pública, conforme a lo dispuesto en el artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución Española.

El artículo 3 y la disposición final segunda se dictan, además, al amparo de lo previsto en el artículo 149.1.6.ª de la Constitución, el cual atribuye al Estado competencia exclusiva en materia de legislación procesal. Por su parte, el apartado 3 del artículo 11 y la disposición adicional segunda se dictan al amparo de lo previsto en el artículo 149.1.18.ª de la Constitución, en relación con la competencia estatal exclusiva sobre las bases del régimen jurídico de las Administraciones públicas y el procedimiento administrativo común.

Disposición final cuarta. Desarrollo reglamentario.

Se habilita al Gobierno para dictar las disposiciones reglamentarias que sean precisas para el desarrollo y aplicación de esta ley.

Disposición final quinta. Entrada en vigor.

La presente ley entrará en vigor al día siguiente al de su publicación en el “Boletín Oficial del Estado”.

El Reglamento europeo 910/2014 (denominado eIDAS) derogó la Directiva 1999/93. En su definición de dispositivo seguro de creación de firma sigue de cerca la definición utilizada en la Directiva que deroga.

El anexo III de la Directiva indica:

Requisitos de los dispositivos seguros de creación de firma electrónica

1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto;

b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;

c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.

2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

El anexo II del Reglamento indica:

REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA

1.

Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a)

esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;

b)

los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;

c)

exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;

d)

los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.

2.

Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.

3.

La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.

4.

Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

a)

la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b)

el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

Aunque puede deducirse que los “Dispostivos Seguros de Creación de Firma” que fueran válidos por cumplir el Anexo III de la Directiva, serán validos en el Reglamento como ” Dispostivos Cualificados de Creación de Firma” por cumplir el Anexo II, el propio Reglamento lo deja claro en su artículo 51, de medidas transitorias:

1.   Los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a lo dispuesto en el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento.

En base a esta consideración, cabe preguntarse, ¿Un dispositivo HSM certificado conforme a la norma FIPS-140-2 puede considerarse un dispositivo cualificado de creación de firma en el marco del EIDAS?

La respuesta es SI:

Cuando se publicó la Directiva en 1999 la única forma que tenían los Prestadores de Servicios de Certificación de cumplir los requisitos del Anexo III para sus certificados en el contexto de su PKI era accediendo a dispositivos certificados en base a la norma  norteamericana FIPS 140-1 publicada en 1994.

Hasta el año 2001 no existió una norma equivalente en el contexto europeo. En esa fecha se crearon en el CEN (Comité Europeo de Normalización) los borradores de las normas CWA 14167, CWA 14168 y CWA 14169 que finalmente se aprobaron en su versión final en el 2004. En el año 2003 se publicó la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo para establecer el reconocimiento de de las normas:

A. Lista de normas que gozan de reconocimiento general para productos de firma electrónica considerados conformes por los Estados miembros con los requisitos del anexo II f de la Directiva 1999/93/CE

  • CWA 14167-1 (marzo de 2003): security requirements for trustworthy systems managing certificates for electronic signatures – Part 1: System Security Requirements
  • CWA 14167-2 (marzo de 2002): security requirements for trustworthy systems managing certificates for electronic signatures – Part 2: cryptographic module for CSP signing operations – Protection Profile (MCSO-PP)

B. Lista de normas que gozan de reconocimiento general para productos de firma electrónica considerados conformes por los Estados miembros con los requisitos del anexo III de la Directiva 1999/93/CE

  • CWA 14169 (marzo de 2002): secure signature-creation devices.

La norma FIPS 140-2 se publicó en Mayo de 2001 y se actualizó en diciembre de 2002.

De modo que, durante la vigencia de la Directiva 1999/93/CE los sistemas HSM (Hardware Security Module) utilizados como Dispositivo Seguro de Creación de Firma estaban certificados respecto a Common Criteria (el sistema de criterios comunes de certificación para reconocimento mutuo de evaluaciones basado en  la norma ISO/IEC 15408) cubierto inicialmente por los Perfiles de protección definidos en las normas/borradores  CWA (Common Workshop Ageements) citadas (que años después evolucionarían hacia las normas EN 14169, EN 14169-1, EN 14169-2, EN 14169-3EN 14169-4, EN 14169-5EN 14169-6). Y FIPS-140-1 (primero) y FIPS-140-2 (después).

La validez de todas estas normas para certificar dispositivos cualificados de creación de firma queda recogida en la normativa más actual de evaluación de Prestadores de Servicios de Certificación.

En efecto, en la norma EN 319 411-1 se indica:

6.5.2 Private key protection and cryptographic module engineering controls

OVR-6.5.2-01: TSP’s key pair generation, including keys used by revocation and registration services, shall be carried out within a secure cryptographic device which is a trustworthy system which:

a) is assured to EAL 4 or higher in accordance with ISO/IEC 15408 [1], or equivalent national or internationally recognized evaluation criteria for IT security provided this is a security target or protection profile which meets the requirements of the present document, based on a risk analysis and taking into account physical and other non-technical security measures; or NOTE 1: Standards specifying common criteria protection profiles for TSP’s cryptographic modules, in accordance with ISO/IEC 15408 [1], are currently under development within CEN as CEN TS 419 221-2 [i.16], CEN TS 419 221-3 [i.17], CEN TS 419 221-4 [i.18], or CEN EN 419 221-5 [i.19].

b) meets the requirements identified in ISO/IEC 19790 [3] or FIPS PUB 140-2 [12] level 3.

De modo que, mientras no se prohíba de forma expresa en alguna normativa (no publicada todavía), los sistemas certificados a través de la norma FIPS-140-2 seguirán siendo válidos.

El MINETAD ha llevado a cabo un proceso de recogida de opiniones sobre el anteproyecto de ley reguladora de determinados aspectos de los servicios electrónicos de confianza que derogará la Ley 59/2003 cuando se publique.

El proceso se ha realizado de acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno.

Dicha ley complementará en el Ordenamiento jurídico español al Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

En la consulta se han publicado los siguientes documentos:

Los certificados digitales son documentos electrónicos expedidos por una entidad de certificación que asocian información sobre la identidad de su titular a una clave pública, vinculada, a su vez, con una clave privada cifrada en una tarjeta chip o administrada en el ordenador de la persona identificada en el certificado y que permiten confirmar la identidad del titular en accesos cifrados (en virtud del protocolo TLS) o firmar electrónicamente.

En España es posible completar un amplio abanico de trámites relacionados con la Administración Pública y firmar documentos que tengan validez jurídica. Así, sin salir de casa, se puede obtener una copia de la partida de nacimiento, conocer los puntos del carné de conducir, comunicar un cambio de domicilio o realizar otras gestiones.

También se pueden firmar documentos electrónicos que contengan instrucciones de voto y delegación para la celebración de juntas de accionistas, en los sistemas de voto y delegación a distancia definidas por las sociedades de capital.

Para usar el certificado, bastará con disponer de un lector de tarjetas inteligentes y un DNI eletrónico (al que irá asociado un PIN) o contar con un certificado expedido por un Prestador de Servicios Electrónicos de Confianza supervisado por el MINETAD (Ministerio de Energía, Turismo y Agenda Digital.

Y para firmar electrónicamente documentos PDF se pueden usar algunas de las herramientas que se describen a continuación.

Selección de aplicaciones

Parte del software que aquí compendiamos servirá a los lectores para firmar documentos empleando certificados, pero también hemos incluido programas para encriptar datos o para proteger aquella información que estimen confidencial, usando desde codificaciones AES 256 hasta métodos de ocultación de unos archivos en el interior de otros.

En determinados casos, para usar los programas, será imprescindible que dispongas de un certificado en el equipo. Si no posees ninguno, es posible generar uno mediante la utilidad Certificado digital para proyectos de VBA, que se incluye con buena parte de las versiones de Microsoft Office. Como es lógico, éste no contará con el aval de una entidad emisora formal y no tendrá mayor validez que la de uso personal.

1. DNIe 6

El software asociado a tu DNI electrónico

Tras insertar tu DNI electrónico en la ranura del lector de tarjetas, éste será detectado como nuevo hardware. Tu PC se conectará a la Red para descargar los controladores asociados. Finalizada la operación, el controlador DNIe minidriver for smart card habrá quedado instalado en tu equipo.

Una nueva ventana te solicitará el PIN que te facilitaron en las oficinas de expedición. Además de introducirlo, deberás instalar en tu equipo el paquete de software DNIe v6y reiniciar el ordenador. En adelante, no solo podrás realizar trámites con la Administración Pública, sino también identificarte en páginas web de entidades bancarias y otros sitios.

DNIe 6

  • Lo mejor: fácil de instalar y de utilizar. Si bien las operaciones que permite no son tantas como sería deseable, nos puede ahorrar más de una cola
  • Lo peor: la necesidad de tener que personarse en las oficinas para obtener el PINde nuestro DNIe si no lo conocemos
  • Contacto: www.dnielectronico.es/descargas/windows.html
  • Valoración: 8,9
  • Precio: Gratuito

2. JSignPdf 1.3

Firma de documentos PDF en régimen abierto

Sencilla herramienta que te permitirá firmar digitalmente tus documentos PDF. A diferencia de otros programas que hemos probado que no son más que versiones con recortes de programas comerciales, esta utilidad se distribuye en régimen de software libre. En caso de que optes por no utilizar el instalador, previamente deberás agregar a tu sistema la versión más reciente de Java Runtime Environment (www.java.com/es/download/index.jsp). Su gran inconveniente es que únicamente permite validar documentos en formato PDF.

JSignPdf

  • Lo mejor: el programa se actualiza con frecuencia. Se integra con la suite de ofimática OpenOffice
  • Lo peor: únicamente permite procesar archivos en formato PDF
  • Contacto: http://jsignpdf.sourceforge.net
  • Valoración: 7
  • Precio: Gratuito

3. XolidoSign 2

Rúbrica digital de documentos de diversos tipos

Gracias a esta aplicación, te será posible seleccionar diversos ficheros y firmarlosmediante un certificado que avale su procedencia para prevenir una posible suplantación de identidad. Tras escoger el certificado, bastará con que hagas clic en el botón Seleccionar archivos, que se muestra en el área superior izquierda de XolidoSign. Una nueva ventana te permitirá cargarlos en la aplicación. Luego deberás escoger el directorio en el que se depositarán las copias firmadas haciendo clic en Selección carpeta salida. El botón Iniciar operación hará que los archivos se procesen.

XolidoSign 2

  • Lo mejor: permite trabajar con diversos tipos de archivo, entre ellos documentos de Microsoft Word y hojas de cálculo de Excel
  • Lo peor: puede resultar algo complejo para usuarios con escasa experiencia en este ámbito
  • Contacto: www.xolido.com
  • Valoración: 8,8
  • Precio: Gratuito

 

4. iSafePDF 1.3

Protege archivos PDF sin instalar ningún software

El más sencillo de los programas para firmar archivos PDF mediante certificados que hemos tenido ocasión de probar, lo cual no tiene necesariamente que ser negativo, pues cuenta con determinadas ventajas sobre otras opciones. Entre las más interesantes, cabe destacar que no precisa instalación, por lo que podrás añadirlo a tu pendrive para ejecutarlo y procesar documentos desde cualquier ubicación. Además, su pestaña Encryption te permite proteger los PDF habilitando una contraseña contra copias, anotaciones, impresiones, etcétera. De nuevo, se trata de software libre.

iSafePDF

  • Lo mejor: no precisa ser instalado. Integra opciones para proteger las características que elijamos de los ficheros PDF
  • Lo peor: al igual que JSignPDF, solo permite procesar documentos en formato PDF
  • Contacto: http://isafepdf.eurekaa.org/download-isafepdf
  • Valoración: 7,1
  • Precio: Gratuito

5. Gpg4win 2.1

Encriptación en la línea de PGP y mucho más

Desde principios de los 90, el software PGP se ha erigido como uno de los medios más efectivos para encriptar y desencriptar información, de tal modo que resulte virtualmente inexpugnable. Si bien desde que Symantec lo adquiriera su versión gratuita ya no está disponible, Gpg4win, su equivalente en el ámbito del software libre, sigue constituyendo una excelente alternativa.

La instalación de este paquete agrega al menú contextual de tu Explorador de Windows una entrada a través de la cual podrás firmar y cifrar documentos y carpetas, para más tarde desencriptar la información que contienen. El asistente te brinda además la posibilidad de instalar el cliente Claws Mail.

Gpg4win

  • Lo mejor: ofrece un sinfín de opciones en régimen gratuito. Se integra con Windows y con el cliente de correo Claws Mail
  • Lo peor: dependiendo de las opciones que escojamos, para decodificar la información dependeremos de este software
  • Contacto: www.gpg4win.org/download.html
  • Valoración: 8,9
  • Precio: Gratuito

6. ClickSign 10.5

Firma electrónica con muchas limitaciones

Otro programa orientado a la firma electrónica de documentos que, en sus diversas versiones comerciales Plus y Pro, resulta de lo más completo. Desafortunadamente, su encarnación gratuita únicamente permite procesar archivos en formato PDF y cuenta con el inconveniente de añadirles una marca promocional.

A diferencia de iSafePDF, precisa que lo instalemos en el sistema, pero a cambio se integra con el Explorador de Windows, agregando una entrada a su menú contextual. Otro aspecto positivo es que está disponible tanto para Windows como para Linux.

ClickSign 10.5

  • Lo mejor: se integra con el sistema operativo. Podemos instalarlo en Windows, pero también en Linux
  • Lo peor: la limitación de opciones de su versión gratuita y el incordio de la marca promocional
  • Contacto: www.clicksignworld.com/es
  • Valoración: 6,5
  • Precio: gratuito

7. Cobian Backup 11 (Gravity)

Copias de seguridad cifradas AES 256

Incluso ahora que respaldar los datos en la Nube se ha vuelto habitual, Cobian Backup, el programa para realizar copias de seguridad que nos ocupa, sigue constituyendo un modelo de referencia. Por un lado, te ofrece un elenco de opciones considerablemente más amplio que el que te brindarán muchas aplicaciones de pago. Por otro, no graba los datos en ningún formato propietario, lo cual te permitirá restaurarlos con gran facilidad, incluso en un futuro lejano en el que ya no cuentes con el programa. Por si fuera poco, su apartado Archivo permite cifrar los datos empleando diversos algoritmos, entre los que se encuentra el AES de 256 bits.

Cobian Backup 11 (Gravity)

Producto Recomendado

  • Lo mejor: los algoritmos de encriptación que integra. Modélico a la hora de realizar backups. Puede instalarse como servicio de sistema
  • Lo peor: las herramientas de sincronización y respaldo en la Nube con las que contamos hoy en día han hecho que su propuesta pierda relevancia
  • Contacto: www.cobiansoft.com/cobianbackup.htm
  • Valoración: 9
  • Precio: Gratuito

 

8. FileInyector 1

Ocultación de documentos confidenciales en fotos

Codificar los documentos importantes usando algoritmos como AES 256 los protegerá, de tal modo que otros usuarios no podrán acceder a ellos. No obstante, cabe la posibilidad de que la simple presencia de archivos o directorios cifrados en los discos despierte las suspicacias de aquellos que tienen acceso a nuestro ordenador.

Lo que nos propone FileInyector 1 es muy original: ocultar un documento de cualquier tipo en el interior de una fotografía en formato BMP, GIF o JPG y habilitar una contraseña para protegerlo. La instantánea seguirá visualizándose sin despertar sospechas sobre lo que esconde.

FileInyector 1

  • Lo mejor: planteamiento alternativo e interesante. No precisa instalación, por lo que resulta portable
  • Lo peor: para recuperar los archivos ocultos, precisaremos usar esta misma aplicación. Si alguien edita la imagen, el archivo oculto quedará dañado
  • Contacto: http://personales.ya.com/mecanet/utilidades/fileinyector.html
  • Valoración: 7,7
  • Precio: Gratuito

9. Plain Sight 1

Esconde documentos en otros documentos

Plain Sight va un paso más allá que FileInyector en el sentido de que nos permite ocultar y cifrar el documento que elijamos en el interior de cualquier otro fichero, sin restricciones en lo referente al tipo. En este caso, el programa sí precisa de instalación, aunque comparte con FileInyector el inconveniente de que posteriormente precisaremos recurrir al propio software para recuperar los contenidos ocultos. Durante nuestras pruebas, hemos utilizado un archivo MP3 como contenedor y seguía reproduciéndose con perfecta normalidad pese a contener una hoja de cálculo de dimensiones considerables.

Plain Sight

  • Lo mejor: al igual que FileInyector, su original filosofía hará que los datos confidenciales que deseamos ocultar muy difícilmente despierten suspicacias
  • Lo peor: la dependencia del programa para recuperar la información tras ocultarla
  • Contacto: www.voidrealms.com/viewdownload.aspx?id=17
  • Valoración: 8
  • Precio: gratuito

10. Easy Encrypt 1

Encripta archivos y carpetas para que sean inexpugnables

En líneas generales y para uso personal, los algoritmos de encriptación que incluyen la mayoría de compresores gratuitos, como 7Zip o PeaZip, deberían ser suficientes para garantizar que nadie tendrá acceso a la información que codifiques con ellos. Si a pesar de todo deseas ir un paso más allá y potenciar la seguridad todavía más, tras obtener el paquete protegido, procésalo de nuevo con EasyEncrypt. Su interfaz, sencilla pero efectiva, te permitirá recodificar la información empleando un algoritmo AES de 256 bits.

Easy Encrypt

  • Lo mejor: fácil de usar, sencillo y gratuito. Permite teclear contraseñas en casillas o bien usar un fichero de claves
  • Lo peor: no permite agregar a una cola y procesar archivos por lotes
  • Contacto: www.voidrealms.com/downloadproduct.aspx?id=16
  • Valoración: 7,3
  • Precio: gratuito

 

Tras la entrada en vigor del #eIdAS (Reglamento UE 910/2014) el pasado 1 de julio de 2016, los Prestadores de Servicios de Certificación (PSC) pasan a denominarse Prestadores de Servicios Electrónicos de Confianza (PSEC) y disponen de un año para presentar un informe de evaluación de su actividad realizado por una entidad evaluadora acreditada ante ENAC.

ENAC ya está en disposición de realizar la certificación de entidades evaluadoras, según se indica en su  Nota de prensa y en su página web en el artículo Certificación de prestadores de servicios de confianza electrónica.

La Evaluación de Conformidad de Prestadores de Servicios Electrónicos de Confianza puede realizarse en un contexto no alineado con el Reglamento Europeo, por ejemplo, siguiendo las directrices de CAB forum relativas a WebTrust, incluso pueden referirse a servicios electrónicos de confianza no contemplados en el Reglamento (como la Digitalización Certificada). No obstante, para los servicios cualificados, la evaluación debe realizarse con arreglo a las normas publicadas en el marco del desarrollo del #eIdAS y por entidades acreditadas antes los organismos de acreditación de cada país, ENAC en el caso de España.

 

El próximo 1 de julio es un hito importante en la adopción del Reglamento UE 910/2014 en España. porque entran en vigor la mayor parte de los aspectos relevantes del citado Reglamento  y se deroga la Directiva 1999/93 cuya transposición dio lugar a la Ley 59/2003 que quedará igualmente derogada en su mayor parte.

Se prevé que se publique una nueva norma, posiblemente una Ley que cubra los aspectos regulatorios que el Reglamento reserva a los paises miembros de la Unión Europea, pero no podrá solaparse con lo que ya está cubierto por el Reglamento.

Para intentar armonizar en lo posible las voces del sector de los Prestadores de Servicios de Confianza Digital, se va a mantener una reunión de PSCD en las instalaciones de AMETIC. Al finalizar, aquellos PSDC que lo dessen podrán formalizar la fundación del Grupo de Trabajo de Prestadores de Servicios de Confianza Digital del que hemos venido hablando los últimos meses unos cuantos PSCD. Es recomendable que los Fundadores hayan formalizado previamente su incorporación a AMETIC (los que falten por hacerlo).

Este Grupo de Trabajo canalizará hacia el Minetur las inquietudes del sector de la Confianza Digital, bajo el auspicio de AMETIC, la patronal más relevante del sector de las Tecnologías de la Información y de las Comunicaciones.

La fecha será el 29 de marzo de 2016 a las 11:00 horas en la sede de AMETIC de Madrid. Se habilitará la posibilidad de participación a distancia por medios digitales.

Para manifestar este interés podéis enviarme un mensaje a julian (arroba) inza (punto) com, precediendo en el texto del asunto la etiqueta [PSCD].

En la decimoquinta edición de Foro Europeo de Firma Electrónica (EFPE, European Forum on Electronic Signature) que tuvo lugar los días 10 al 12 de junio de 2015 en Polonia se trató sobre el nuevo marco legal y tecnológico en la economía digital tras la publicación del Reglamento UE 910/2014 #eIDAS. Al finalizar el evento se aprobó la publicación de una declaración conjunta recogiendo las principales preocupaciones del sector de la certificación digital, la autenticación digital y de los servicios de confianza digital.

Se incluyee seguidamente una versión adaptada al español de la citada declaración.

Declaración final sobre la nueva implementación de servicios de confianza digital en la Unión Europea, adoptada en el Foro Europeo de Firma Electrónica (European Forum on Electronic Signature) del año 2015

El Foro Europeo de Firma Electrónica (EFPE) es una de las mayores conferencias internacionales que tienen lugar en Europa dedicadas a la firma electrónica e infraestructura de clave pública (PKI, Public Key Infraestructure). En la decimoquinta edición que tuvo lugar los días 10 al 12 de junio de 2015, en Międzyzdroje (Polonia), se trató el “nuevo orden legal y tecnológico en la economía electrónica internacional: Reglamento eIDAS – de la firma electrónica a los servicios de confianza digital”.

Asistieron al EFPE 2015 más de 130 participantes de 27 países. Entre ellos se encontraban representantes de la Comisión Europea, del ETSI, grandes instituciones que utilizan los servicios de confianza (incluyendo oficinas y agencias de gobiernos), proveedores de soluciones de software o hardware o prestadores de servicios de confianza digital relacionados con la firma electrónica y la identificación electrónica.

El Reglamento eIDAS, Reglamento UE 910/2014 sobre la identificación electrónica y servicios de confianza, requiere que los prestadores de servicios y los organismos supervisores realicen esfuerzos significativos para adoptar el nuevo marco legal que impondrá nuevos requisitos para las soluciones y sistemas de TI existentes en el mercado. De acuerdo con el art. 52 del Reglamento eIDAS se aplicará el Reglamento (salvo algunos casos contados en el Art. 52 (2)) desde el 1 de julio de 2016. Por otra parte, un prestador de servicios de certificación que expida certificados cualificados (también denominados “certificados reconocidos”) en virtud de la Directiva 1999/93 / CE antes del 1 de julio de 2016 debería presentar un informe de evaluación de conformidad a la autoridad nacional de control, a más tardar el 1 de julio de 2017. Después de esta fecha un prestador de servicios de certificación, no se considerará como prestador de servicios de confianza digital cualificado con arreglo al Reglamento eIDAS. Por lo tanto, los prestadores de servicios de confianza digital y los desarrolladores están esencialmente interesados en la publicación de los actos de implementación y los documentos relativos a estándares que les permiten adoptar servicios de confianza digital existentes y nuevos de acuerdo con los requisitos establecidos en dichos documentos.

Los participantes en la Conferencia señalaron la necesidad de un enfoque integral para la implementación de los cambios legislativos en el marco jurídico nacional. El Reglamento eIDAS requiere una cuidadosa armonización respectos a la legislación nacional, preservando al mismo tiempo la letra y el espíritu del Reglamento. Por otra parte, los efectos legales de los servicios de confianza digital definidos en el Reglamento eIDAS deben ser explícitos para los usuarios, independientemente del país miembro de la UE de procedencia.

La actuación como prestador de servicios de confianza digital requiere una actividad empresarial a la que no afecte la intervención del Estado, de forma que pueda garantizar a los clientes los medios para el uso inalterado de los servicios y productos en los que basa su confianza durante un largo período de tiempo. Es un tipo de actividad que exige un alto grado de responsabilidad, lo que implica la necesidad de garantizar la disponibilidad de los servicios: entidades de confianza digital, que deben ser resistentes a los períodos de recesión económica y capaces de responder a los retos derivados de los avances tecnológicos. Por razones de seguridad, los servicios de confianza digital requieren de experiencia y de sólidas infraestructuras.

Los participantes en la Conferencia señalaron que es importante identificar no sólo los muchos desafíos que supone la implementación de eIDAS en determinados Estados miembros de la UE, sino también el impacto que tendrá el despliegue de eIDAS fuera de la UE. Esto es un importante problema práctico porque no hay una base legal común entre la UE y otros países, aunque los sistemas legales pueden ser similares y los servicios de confianza digital se pueden prestar en las mismas condiciones. Los participantes hicieron hincapié en que en el ámbito de la UE sería una buena práctica el desarrollo del art. 14 en relación con los aspectos internacionales de reconocimiento de la identificación electrónica y de los servicios de confianza digital que se proporcionan a o por terceros países que no formen arte de la UE.

Un gran número de servicios de confianza digital dedicados podría llegar a ser difícil de utilizar por las partes que confían, lo que sería incompatible con el postulado citado, por ejemplo, en el Preámbulo (57), que establece que la validación de la firma electrónica cualificada debe ser fácil y conveniente para todas las partes en el ámbito de la Unión. Por esta razón, los servicios de confianza además de ser referenciados en las listas de confianza (TSL) deben disponerse en ellas de forma ordenada y consistente con la normativa preparada por los organismos de normalización tales como ETSI.

Aquella administración pública que pretenda proporcionar servicios de confianza digital al público debería hacerlo en pie de igualdad con los prestadores privados de confianza digital sin adoptar disposiciones que conculquen los principios de la libre competencia. Los participantes en la conferencia reiteran la creencia expresada en los últimos años de que la administración pública debe confiar cada vez más en las soluciones comerciales que ofrecen los prestadores de servicios de confianza que operan en el mercado digital.

En los instrumentos regulatorios internos que desarrolle cada país, vale la pena recomendar que se incluyan áreas no cubiertas directamente por el Reglamento eIDAS, por ejemplo, servicios adicionales de confianza digital e identificación electrónica. Los depósitos de claves y los gestores de identidad delegada son ejemplos de desafíos no cubiertos por el Reglamento eIDAS.

Este documento final ha sido preparado por expertos y participantes internacionales durante el EFPE 2015. Este documento ha sido traducido al Inglés, polaco y ruso y presentado para su aceptación por los participantes de la conferencia. Rogamos a los responsables políticos y los legisladores tomen en consideración esta modesta contribución a la discusión europea en sus futuros esfuerzos.

Doctor Ingeniero Jerzy Pejas. Presidente del Comité de Programa de EFPE 2015
Universidad de Tecnología de Pomerania Occidental en Szczecin, Polonia

Versión en español de Julián Inza, Presidente del Foro de la Firma Electrónica (agosto de 2015)
Presidente de European Agency of Digital Trust.

Merece la pena hacer mención a las nuevas exigencias que deberán afrontar los Prestadores de Servicios de Confianza Digital en el nuevo marco regulatorio.

La Agencia Europea ENISA las incluye en su web: Guidelines for Trust Service Providers.

In order to remove barriers for cross-border trust services and having regard to results from successful European projects like STORK, which have shown that technical issues of interoperability can be overcome, the European Parliament and the Council of the European Union adopted the Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC on a community framework for electronic signatures, which provided for the legal recognition of electronic signatures. The Regulation strengthens the provisions for interoperability and mutual recognition of electronic identification schemes across borders, enhances current rules for electronic signatures and provides a legal framework for other types of trust services (electronic seals, electronic delivery services, electronic documents, time stamping services and web site authentication).

Trust Services – as the name suggests – require a trustful provision of the corresponding service. The word trustful has to be defined in this context as highly reliable for the user, that the service promised is being delivered strictly according to:

  • Terms and conditions of the Trust Service Provider,
  • Standards (like ETSI/CEN/ISO),
  • Legal requirements as well as according to
  • State of technology (like cryptographic algorithms and parameter sets).
The Article 19 of the above mentioned regulation stipulates that trust services providers have to demonstrate due diligence, in relation to the identification of risks and adoption of appropriate security practices, and notify competent bodies of any breach of security or loss of integrity that has a significant impact on the trust service provided and on the personal data maintained therein.

ENISA Guidelines for Trust Service Providers:

In this context, the European Union Agency for Network and Information Security (ENISA) has developed in 2013 the Guidelines for trust services providers, discussing the minimal security levels to be maintained by the trust services providers. The study is split into three parts:

  • Security framework: describing the framework surrounding trust service providers (TPSs), focusing on EU standards, but taking into account others where relevant.
  • Risk assessment: discussing the principles and concepts of managing the risks applicaple to TSPs by defining and controlling threats and vulnerabilities.
  • Mitigating the impact of security incidents: recommending measures to mitigate the impact of security incidents on trust service providers (TSP) by proposing suitable technical and organisational means to handle the security risks posed to the TSP.

All three parts can also be used separately, as they address different issues and target different audience, so the introductory sections overlap.

These studies were complemented in 2014 by the fourth part (to be published):

ENISA has also published three other reports on the subject of TSPs:

 

 

The Internet Security Research Group (ISRG), en español, Grupo de Investigación de Seguridad de Internet (GISI), es una entidad sin ánimo de lucro creada en 2014 y centrada en la seguridad de Internet, especialmente a través de su principal inciativa  “Let’s Encrypt” que pretende distribuir gratuita y automáticamente certificados de servidor web a todos los servidores del mundo.

Los certificados de servidor web se basan en el protocolo “Secure Sockets Layer/Transport Layer Security” (SSL/TLS).

Josh Aas, representante de la Fundación Mozilla será su primer director ejecutivo. En el Consejo de la entidad, además de Mozilla estarán también representadas Akamai, Cisco, la Universidad de Michigan, la  Stanford Law School, CoreOS, IndenTrust, y la Fundación EFF (Electronic Frontier Foundation).

Estos son los miembros:

  • Josh Aas (Mozilla) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • Dave Ward (Cisco)
  • J. Alex Halderman (University of Michigan)
  • Andreas Gal (Mozilla)
  • Jennifer Granick (Stanford Law School)
  • Alex Polvi (CoreOS)
  • Peter Eckersley (EFF) — Observer

La iniciativa Let’s Encrypt, en español  “Cifremos” tiene entre sus destinatarios a los webmasters de las empresas, que instalan y mantienen servidores web. Si en la actualidad  conseguir los certificados de servidor es un engorro, por ser relativamente costosos y difíciles de instalar, con Let’s Encrypt se pretende resolver estos problemas creando una nueva Autoridad de Certificación que prepare e instale los certificados automáticamente cuando se instalan los servidores o se reconfigura el software de un proyecto.

Todas las actuaciones, como renovar los certificados, serán automáticas y gratuitas.

Aparte de facilitar el trabajo a los webmasters, el hecho de que los internautas naveguen por una Internet en la que la mayoría de los servidores mantienen las comunicaciones cifradas aporta como ventaja el que se disminuye la probabilidad de ataques “man in the middle” en los que la información es accesible (y modificable) por servidores situados en el tránsito de las comunicaciones (algunos potencialmente infectables por software malicioso). Y también por servidores que puedan estar bajo el control de algunos gobiernos, que así no podrán saber en qué consisten las comunicaciones de los ciudadanos.

Let’s Encrypt está definido, documentado y su desarrollo ya ha comenzado. Se espera que la infraestructura esté desplegada en 2015.

La Autoridad de Certificación de Let’s Encrypt dialoga con un software de gestión específico instalado en los servidores mediante el protocolo ACME (“Automated Certificate Management Environment”) del que ya existe un borrador de especificación. La idea es promover esta especificación para que sea parte del cuerpo normativo de la Internet Engineering Task Force (IETF) en el plazo más breve posible, y de est forma garantizar su evolución como estándar abierto.

Tanto el software utilizado por la CA (Certification Authority, Autoridad de Certificación) como el de las aplicaciones que acceden a ella y que facilitan a los administradores de sistemas la configuración de certificados SSL/TLS en servidores web como Apache, Nginx y Microsoft IIS, serán de fuentes abiertas. La CA pretende operar de forma transparente de modo que el repositorio de certificados emitidos y revocados estará a disposición de quien quiera inspeccionarlos.

Let’s Encrypt se someterá a los procesos de auditoría habituales de todas las CA y cumplirá los requerimientos básicos (baseline requirements) establecidos por la organización de cooperación entre desarrolladores de navegadores y autoridades de certificación  CA/Browser Forum en cuanto a la emisión y gestión de certificados digitales.

El Internet Security Research Group (ISRG) solicitará que sus certificados raíz se incluyan en los programas definidos por los desarrolladores de navegadores como Mozilla y Microsoft, para que estos navegadores confíen en los certificados emitidos por la CA de ISRG por defecto (sin requerir una aprobación expresa por los usuarios). Dado que este proceso puede ser largo y laborioso y que puede llegar a necesitar hasta 3 años por cada navegador, inicialmente ISRG solicitará a IdenTrust  (cuyas CA raíz ya están integradas en los navegadores) que firme sus certificados.   IdenTrust es uno de los impulsores del proyecto.

Para colaborar en España con esta iniciativa, contactar con Julian (@) inza.net

 

De conformidad con el artículo 2, apartado 4, de la Decisión 2009/767/CE de la Comisión, de 16 de octubre de 2009, por la que se adoptan medidas que facilitan el uso de procedimientos por vía electrónica a través de las ventanillas únicas con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior, modificada por la Decisión 2010/425/UE de la Comisión y la Decisión de ejecución de la Comisión 2013/662/EU de 14 de octubre de 2013, la presente lista contiene la información notificada por los Estados miembros en virtud del artículo 2, apartado 3, de la Decisión 2009/767/CE de la Comisión.

Con el presente sitio Internet la Comisión Europea quiere ofrecer una herramienta de interoperabilidad que facilite el uso práctico de las listas de confianza nacionales. Nuestro objetivo es mantener esta información actualizada y precisa.

Trataremos de corregir los errores que se nos señalen. No obstante, la Comisión no asume responsabilidad alguna en relación con el contenido de las listas de confianza nacionales, que son de la exclusiva incumbencia de los Estados miembros.

Queremos reducir al mínimo los problemas ocasionados por errores de carácter técnico. No obstante, algunos datos o informaciones de nuestro sitio pueden haber sido creados u organizados en archivos o formatos no exentos de errores, y no podemos garantizar que nuestro servicio no se vea interrumpido o afectado de alguna otra manera.

La Comisión no asume responsabilidad alguna por los problemas que puedan surgir al utilizar este sitio o sitios externos con enlaces al mismo. La presente cláusula de exención de responsabilidad no tiene por objeto limitar la responsabilidad de la Comisión de forma contraria a lo dispuesto por las normativas nacionales aplicables ni excluir su responsabilidad en los casos en los que, en virtud de dichas normativas, no pueda excluirse.

Austria

https://www.signatur.rtr.at/currenttl.xml

Bélgica

http://tsl.belgium.be/tsl-be.xml

Bulgaria

http://crc.bg/files/_bg/TSL-CRC-BG-signed.xml

Chipre

http://www.mcw.gov.cy/mcw/DEC/DEC.nsf/all/9BE02B75459C1ED4C22577E40025AFD4/$file/TSL-CY-003-sign.xml?openelement

República Checa

http://tsl.gov.cz/publ/TSL_CZ.xtsl

Alemania

ttp://www.nrca-ds.de/st/TSL-XML.xml

Dinamarca

http://www.digst.dk/~/media/Files/Digitale%20l%C3%B8sninger/Digital%20signatur/TLDK.xml

Estonia

http://sr.riik.ee/tsl/estonian-tsl.xml

Grecia

https://www.eett.gr/tsl/EL-TSL.xml

España

https://sede.minetur.gob.es/Prestadores/TSL/TSL.xml

Finlandia

https://www.viestintavirasto.fi/attachments/TSL-Ficora.xml

Francia

http://references.modernisation.gouv.fr/sites/default/files/TSL-FR.xml

Croacia

http://www.mingo.hr/userdocsimages/trgovina/TSL_HR.xml

Hungría

http://www.nmhh.hu/tl/pub/HU_TL.xml

Irlanda

http://www.dcenr.gov.ie/NR/rdonlyres/52E803DA-EBB0-4C33-882C-26FCF550EDB7/0/IrelandTSLSIGNED.xml

Islandia

http://www.neytendastofa.is/library/Files/TSl/tsl.xml

Italia

https://applicazioni.cnipa.gov.it/TSL/IT_TSL_signed.xml

Liechtenstein

http://www.llv.li/xml-llv-ak-tsl.xml

Lituania

http://www.rrt.lt/failai/LT-TSL.xml

Luxemburgo

http://www.portail-qualite.public.lu/fr/publications/confiance-numerique/liste-confiance-nationale/tsl-xml/TSL-XML.xml

Letonia

http://www.dvi.gov.lv/en/wp-content/uploads/TSL/tsl-lv.xml

Malta

http://www.mca.org.mt/tsl/MT_TSL.xml

Pises Bajos

https://www.acm.nl/download/bestand/current-tsl.xml

Noruega

http://www.npt.no/TSL/NO_TSL.xml

Polonia

https://www.nccert.pl/tsl/PL_TSL.xml

Portugal

http://www.gns.gov.pt/media/1894/TSLPT.xml

Rumanía

http://www.mcsi.ro/Minister/Domenii-de-activitate-ale-MCSI/Tehnologia-Informatiei/Servicii-electronice/Semnatura-electronica/TrustedList-v8-xml

Suecia

http://www.pts.se/upload/Ovrigt/Internet/Branschinformation/Trusted-List-SE-MR.xml

Eslovenia

http://www.mizks.gov.si/fileadmin/mizks.gov.si/pageuploads/Storitve/Info_druzba/Overitelji/SI_TL.xml

Eslovaquia

http://ep.nbusr.sk/kca/tsl/tsl.xml

Reino Unido

http://www.tscheme.org/UK_TSL/TSL-UKsigned.xml

Normativa técnica de aplicación:  ETSI TS 119 612 V1.2.1 (2014-04) Electronic Signatures and Infrastructures (ESI); Trusted Lists; standard

 

 

 

 

 

Next Page »