La noticia, avanzada por Europa Press, utilizaba un titular más llamativo: “El Congreso cambia la ley de servicios electrónicos tras derrotar la oposición al Gobierno en 13 enmiendas

Sumario: Las enmiendas eliminan dos artículos, reconocen la identificación a distancia por vídeo conferencia y videoidentificación en los términos autorizados por el SEPBLAC y reconocen la equivalencia de los certificados cualificados del DNI electrónico (de identificación y firma) con los del resto de certificados electrónicos cualificados.

El Congreso ha aprobado el 29 de junio de 2020 la nueva ley de servicios electrónicos de confianza y la ha enviado al Senado, pero el texto que propuso en su día el Gobierno de coalición ha sido modificado por la oposición al introducirse hasta trece enmiendas en contra del criterio del PSOE y de Unidas Podemos.

Con la ausencia de EH-Bildu y de UPN (Grupo Mixto), los votos en contra del PSOE y de Unidas Podemos no han bastado para derrotar a las fuerzas de la oposición, que se han unido para introducir enmiendas de Junts, Ciudadanos, y el PNV, así como una transaccional del PP, Vox y Cs.

Al final, a la hora de votar y aprobar el texto en la Comisión de Asuntos Económicos, todos los grupos han votado favorablemente y el proyecto de ley se enfrenta ahora a su tramitación en el Senado. Allí, el PSOE tiene mayoría y podrán incluir nuevas enmiendas, pero esos cambios habrán de ser refrendados de nuevo por la mayoría del Congreso, que tiene la última palabra.

Esta ley es necesaria para derogar de forma expresa la Ley 59/2003 que entraba en conflicto en varios aspectos con el Reglamento UE 910/2014 de aplicación directa en todos los países miembro. Además, el Reglamento citado, conocido como EIDAS, remite algunos aspectos a las leyes nacionales, en temas como los requisitos que se imponen a los Prestadores de Servicios Electrónicos de Confianza en cuanto a seguros o el régimen sancionador.

El Reglamento, diseñado para armonizar la prestación de servicios de confianza en toda Europa  ya contempla la expedición y el uso de certificados cualificados  para la realización de firmas electrónicas de personas físicas y de sellos electrónicos de personas jurídicas,  el sello de tiempo electrónico, los certificados cualificados de sitio web y los sistemas cualificados de notificaciones electrónicas utilizados habitualmente en las relaciones telemáticas de ciudadanos, empresas y administraciones públicas.

El PSOE advierte de “inseguridad jurídica”

Entre las modificaciones introducidas, la enmienda transaccional impulsada por el PP permite reconocer como método de identificación a escala nacional aquella realizada de forma no presencial por medios electrónicos o telemáticos, como videoconferencia o videoidentificación.

Concretamente, el texto finalmente modificado reconoce métodos con niveles de seguridad certificada por un organismo de evaluación, o se hayan habilitado por organismos competentes, y cita los métodos de identificación por videoconferencia o videoidentificación aplicados en el ámbito de la prevención de blanqueo de capitales, autorizados por el SEPBLAC.

El PSOE ha criticado, a través de su diputada Ángeles Marra, como “no aceptable” que, “por el mero hecho” de que “una normativa sectorial”, como la de prevención del blanqueo de capitales, reconozca esta opción, esta sea “extrapolable” el resto de servicios, y ha advertido del riesgo de incurrir en una mayor inseguridad jurídica “fuera incluso del propio reglamento” europeo.

Sin embargo esta opinión discrepa de la mayoritaria en el sector de los prestadores de servicios electrónicos de confianza, que sostiene que los métodos de identificación a distancia tienen que ser consistentes entre los diferentes sectores para evitar su fragmentación y el riesgo de ataques de ingeniería social. Esta posición, contraria a la sostenida por el PSOE, es también mayoritaria en Europa, como se acredita con los informes publicados por el Grupo de Expertos en Identificación Electrónica (eKYC) en marzo de 2020.

Curiosamente la Disposición undécima del RDL 11-2020 autorizaba el uso de videoconferencia en los términos definidos por el SEPBLAC en el contexto de la normativa de Prevención de Blanqueo de Capitales, con una técnica legislativa trufada de inseguridad jurídica, como la obligación de revocar los certificados emitidos una vez concluido el estado de alarma por el COVID-19.

No recibir datos exactos no exime a la empresa de responsabilidad

El Congreso ha aceptado también varias enmiendas de Junts. Dos de ellas, han llevado a la eliminación de artículos íntegros de la ley –uno, el de las responsabilidades de los prestadores de servicios electrónicos de confianza, y otro el la declaración de actividad–, por considerar que ya están recogidos en el reglamento europeo EIDAS de 2014, y otras dos equiparan el DNI electrónico al resto de certificados electrónicos cualificados regulados por la ley, admitiendo los certificados cualificados de identificación y sus efectos, aspecto escasamente tratado en el Reglamento EIDAS y que estaba siendo suplementado desde el mundo de la estandarización por el organismo ETSI, sin previsión expresa en el Reglamento.

En el caso de las enmiendas de Ciudadanos, una permite obligar a los prestadores de servicios electrónicos de confianza a informar en cualquier caso al Ministerio de Asuntos Económicos de una violación de seguridad, y otra para no eximir de las responsabilidades a estas empresas por daños y perjuicios a la persona a la que ha prestado el servicio o a terceros de buena fe cuando esta no haya proporcionado datos exactos o necesarios.

Enmiendas del PSOE y Unidas Podemos

En el trámite previo de la ponencia de la Comisión de Asuntos Económicos se aprobaron dos enmiendas propuestas por PSOE y Unidas Podemos, que no tienen nada que ver con el objetivo de la Ley, pero que permiten aprovechar el trámite parlamentario de esta ley para introducir cambios en otras, necesarios por otros marcos normativos como el definido por el  Reglamento (UE) 2019/1150, por el Reglamento (UE) 2016/679 o la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Estas enmiendas se han reflejado en dos disposiciones finales que modifican la LSSI (Ley 34/2002) y la Ley 17/2009, sobre el libre acceso a las actividades de servicios y su ejercicio.

Texto final tras las enmiendas

Aunque el conjunto de propuestas de enmiendas se publicaron en la página web de congreso en HTML y PDF, y han trascendido algunas de las enmiendas aprobadas, el siguiente documento, que recoge el proyecto de ley con sus enmiendas es una reconstrucción aproximada de los acuerdos adoptados en la Comisión de Asuntos Económicos. Sirve para hacerse una idea del texto final, pero este se confirmará cuando se publique de forma oficial en el congreso.

Actualización: la versión de este documento sustituye una anterior en la que se daba por aprobada la enmienda 26, que, en realidad, fue rechazada.