En la decimoquinta edición de Foro Europeo de Firma Electrónica (EFPE, European Forum on Electronic Signature) que tuvo lugar los días 10 al 12 de junio de 2015 en Polonia se trató sobre el nuevo marco legal y tecnológico en la economía digital tras la publicación del Reglamento UE 910/2014 #eIDAS. Al finalizar el evento se aprobó la publicación de una declaración conjunta recogiendo las principales preocupaciones del sector de la certificación digital, la autenticación digital y de los servicios de confianza digital.

Se incluyee seguidamente una versión adaptada al español de la citada declaración.

Declaración final sobre la nueva implementación de servicios de confianza digital en la Unión Europea, adoptada en el Foro Europeo de Firma Electrónica (European Forum on Electronic Signature) del año 2015

El Foro Europeo de Firma Electrónica (EFPE) es una de las mayores conferencias internacionales que tienen lugar en Europa dedicadas a la firma electrónica e infraestructura de clave pública (PKI, Public Key Infraestructure). En la decimoquinta edición que tuvo lugar los días 10 al 12 de junio de 2015, en Międzyzdroje (Polonia), se trató el “nuevo orden legal y tecnológico en la economía electrónica internacional: Reglamento eIDAS – de la firma electrónica a los servicios de confianza digital”.

Asistieron al EFPE 2015 más de 130 participantes de 27 países. Entre ellos se encontraban representantes de la Comisión Europea, del ETSI, grandes instituciones que utilizan los servicios de confianza (incluyendo oficinas y agencias de gobiernos), proveedores de soluciones de software o hardware o prestadores de servicios de confianza digital relacionados con la firma electrónica y la identificación electrónica.

El Reglamento eIDAS, Reglamento UE 910/2014 sobre la identificación electrónica y servicios de confianza, requiere que los prestadores de servicios y los organismos supervisores realicen esfuerzos significativos para adoptar el nuevo marco legal que impondrá nuevos requisitos para las soluciones y sistemas de TI existentes en el mercado. De acuerdo con el art. 52 del Reglamento eIDAS se aplicará el Reglamento (salvo algunos casos contados en el Art. 52 (2)) desde el 1 de julio de 2016. Por otra parte, un prestador de servicios de certificación que expida certificados cualificados (también denominados “certificados reconocidos”) en virtud de la Directiva 1999/93 / CE antes del 1 de julio de 2016 debería presentar un informe de evaluación de conformidad a la autoridad nacional de control, a más tardar el 1 de julio de 2017. Después de esta fecha un prestador de servicios de certificación, no se considerará como prestador de servicios de confianza digital cualificado con arreglo al Reglamento eIDAS. Por lo tanto, los prestadores de servicios de confianza digital y los desarrolladores están esencialmente interesados en la publicación de los actos de implementación y los documentos relativos a estándares que les permiten adoptar servicios de confianza digital existentes y nuevos de acuerdo con los requisitos establecidos en dichos documentos.

Los participantes en la Conferencia señalaron la necesidad de un enfoque integral para la implementación de los cambios legislativos en el marco jurídico nacional. El Reglamento eIDAS requiere una cuidadosa armonización respectos a la legislación nacional, preservando al mismo tiempo la letra y el espíritu del Reglamento. Por otra parte, los efectos legales de los servicios de confianza digital definidos en el Reglamento eIDAS deben ser explícitos para los usuarios, independientemente del país miembro de la UE de procedencia.

La actuación como prestador de servicios de confianza digital requiere una actividad empresarial a la que no afecte la intervención del Estado, de forma que pueda garantizar a los clientes los medios para el uso inalterado de los servicios y productos en los que basa su confianza durante un largo período de tiempo. Es un tipo de actividad que exige un alto grado de responsabilidad, lo que implica la necesidad de garantizar la disponibilidad de los servicios: entidades de confianza digital, que deben ser resistentes a los períodos de recesión económica y capaces de responder a los retos derivados de los avances tecnológicos. Por razones de seguridad, los servicios de confianza digital requieren de experiencia y de sólidas infraestructuras.

Los participantes en la Conferencia señalaron que es importante identificar no sólo los muchos desafíos que supone la implementación de eIDAS en determinados Estados miembros de la UE, sino también el impacto que tendrá el despliegue de eIDAS fuera de la UE. Esto es un importante problema práctico porque no hay una base legal común entre la UE y otros países, aunque los sistemas legales pueden ser similares y los servicios de confianza digital se pueden prestar en las mismas condiciones. Los participantes hicieron hincapié en que en el ámbito de la UE sería una buena práctica el desarrollo del art. 14 en relación con los aspectos internacionales de reconocimiento de la identificación electrónica y de los servicios de confianza digital que se proporcionan a o por terceros países que no formen arte de la UE.

Un gran número de servicios de confianza digital dedicados podría llegar a ser difícil de utilizar por las partes que confían, lo que sería incompatible con el postulado citado, por ejemplo, en el Preámbulo (57), que establece que la validación de la firma electrónica cualificada debe ser fácil y conveniente para todas las partes en el ámbito de la Unión. Por esta razón, los servicios de confianza además de ser referenciados en las listas de confianza (TSL) deben disponerse en ellas de forma ordenada y consistente con la normativa preparada por los organismos de normalización tales como ETSI.

Aquella administración pública que pretenda proporcionar servicios de confianza digital al público debería hacerlo en pie de igualdad con los prestadores privados de confianza digital sin adoptar disposiciones que conculquen los principios de la libre competencia. Los participantes en la conferencia reiteran la creencia expresada en los últimos años de que la administración pública debe confiar cada vez más en las soluciones comerciales que ofrecen los prestadores de servicios de confianza que operan en el mercado digital.

En los instrumentos regulatorios internos que desarrolle cada país, vale la pena recomendar que se incluyan áreas no cubiertas directamente por el Reglamento eIDAS, por ejemplo, servicios adicionales de confianza digital e identificación electrónica. Los depósitos de claves y los gestores de identidad delegada son ejemplos de desafíos no cubiertos por el Reglamento eIDAS.

Este documento final ha sido preparado por expertos y participantes internacionales durante el EFPE 2015. Este documento ha sido traducido al Inglés, polaco y ruso y presentado para su aceptación por los participantes de la conferencia. Rogamos a los responsables políticos y los legisladores tomen en consideración esta modesta contribución a la discusión europea en sus futuros esfuerzos.

Doctor Ingeniero Jerzy Pejas. Presidente del Comité de Programa de EFPE 2015
Universidad de Tecnología de Pomerania Occidental en Szczecin, Polonia

Versión en español de Julián Inza, Presidente del Foro de la Firma Electrónica (agosto de 2015)
Presidente de European Agency of Digital Trust.