Archivo de la categoría: Conformidad normativa

Disonancias entre el esquema de evaluación de conformidad del Reglamento EIDAS y los esquemas nacionales de evaluación derivados de la Directiva NIS2 y otras normas


Sería deseable que la legislación que se está completando (entre la que se incluye la propuesta de modificación de Reglamento EIDAS, conocida como EIDAS2) definiera mejor la relación entre el sistema europeo de evaluación de la conformidad del eIDAS y los 27 sistemas nacionales diferentes de evaluación de la conformidad derivados de la transposición de la Directiva de Ciberseguridad NIS2.

Y que los reguladores fueran conscientes de las interrelaciones entre normativas publicadas a nivel europeo y evitaran conflictos de interpretación de las normas o requisitos redundantes por ser ligeramente diferentes entre normas.

Así se evitarían duplicidades y se aprovecharía el sistema paneuropeo de evaluación de la conformidad del eIDAS ya existente, que se ha establecido para evitar que los problemas de ciberseguridad (a primera vista) se conviertan en un obstáculo insuperable para un mercado único europeo de servicios de confianza cualificados.

Sin una definición clara, no será fácil coordinar técnicamente las normas y los sistemas de acreditación de eIDAS y NIS2, lo que repercutirá negativamente en varios aspectos técnicos y en el desarrollo del mercado de la seguridad y su certificación.

Entre las cuestiones de coordinación pendientes de abordar, que afectan a varias normativas europeas en desarrollo, figuran las siguientes:

  1. Necesidad de coordinación entre los requisitos de seguridad de NIS2 y eIDAS 2.0. Los conflictos pueden evitarse fácilmente, ya que la estructura de las políticas de seguridad de ambas normas es similar y comparte las mismas fuentes (la normativa ISO 27000).
  2. Necesidad de coordinaciónentre los eIDS nacionales de la Parte II del eIDAS y los eIDS europeos de la Parte III del eIDAS, sometidos (también) a un sistema nacional de evaluación de la conformidad.
  3. Necesidad de definición técnica y de coordinación técnica entre los Servicios de Identificación definidos en el art. 2.1.(15) de la Propuesta de Reglamento «Ley de Servicios Digitales» (COM 2020/842) y los de la Propuesta de Reglamento eIDAS 2.0 (COM 2021/281) en sus art. 6a(3), 6a(4), 6a(5), y otos,
  4. Necesidad de definición técnica y de coordinación entre los servicios de la plataforma central definidos en los arts. 1 y 2 del Reglamento «Ley de Mercados Digitales» (COM 2020/842), y los QTS de eIDAS.
  5. Conveniencia de utilizar una base normativa de estandarización internacional común para la evaluación de la conformidad, destinada específicamente a la certificación de productos, procesos y servicios, en particular la norma ya existente ISO 17065.

El CSV (Código Seguro de Verificación) en la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia


El Artículo 26 de la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia define las caractrísticas de los Sistemas de Código Seguro de Verificación empleados en el ámbito de la Administración de Justicia.

Establece:

  1. Las Administraciones con competencia en materia de Justicia podrán gestionar sistemas de Código Seguro de Verificación que, cuando figuren en un documento electrónico o en su versión impresa, permitan el cotejo de la autenticidad e integridad del documento. El cotejo de los documentos con Código Seguro de Verificación se realizará en la sede judicial electrónica correspondiente al órgano que emitió el documento, así como en la Carpeta Justicia.
  2. La inclusión de Códigos Seguros de Verificación en los documentos se acompañará de la dirección electrónica en la que poder realizar el cotejo.
  3. Los Códigos Seguros de Verificación se codificarán de conformidad con los términos que se definan en el marco del Comité Técnico Estatal de la Administración Judicial Electrónica.
  4. Se podrán establecer requisitos restrictivos de identificación o similares sobre algunos documentos, para evitar que sean accesibles únicamente por su Código Seguro de Verificación, cuando existan razones de protección de la información.
  5. Se podrán habilitar mecanismos que ofrezcan el documento en una versión anonimizada. Los documentos electrónicos podrán contener medidas de seguridad tales como marcas de agua, sistemas anti-copia o versiones personalizadas de documentos que permitan detectar la persona concreta que hubiera difundido un documento de forma no autorizada.

Con estas previsiones, el Código Seguro de Verificación podría corresponder a una copia concreta destinada a una persona concreta por lo que en contextos en los que se prohiba la difusión de un documento dotado de CSV, quedará expuesta la identidad de quien lo haya filtrado, lo que puede acarrear sanciones e, incluso tener la consideración de delito.

El Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) ya ha definido la codificación de CSV en el documento PROPUESTA DE ESTANDARIZACIÓN DEL INTERFAZ DE ACCESO AL SERVICIO DE CSV DE LAS SEDES y ha creado el concepto de Código Seguro de Verificación (CSV) enrutable del que ya nos hemos hecho eco en este Blog.

De esta manera, si en un momento futuro cambia la dirección electrónica en la que poder realizar el cotejo, todavía se podrá realizar dicho cotejo desde otras direcciones de comprobación en el ámbito de la Administración de Justicia,

Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»


Se ha publicado un Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) no 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Ponente: Tymoteusz Adam ZYCH
Consulta Parlamento Europeo, 8.7.2021
Consejo, 15.7.2021
Fundamento jurídico Artículo 114 del Tratado de Funcionamiento de la Unión Europea.
Sección competente Mercado Único, Producción y Consumo
Aprobado en sección 30.9.2021
Aprobado en el pleno 20.10.2021
Pleno nº 564
Resultado de la votación: 229 a favor / 2 en contra / 5 abstenciones

  1. Conclusiones y recomendaciones

    1.1. El Comité Económico y Social Europeo (CESE) acoge con satisfacción la propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad
    digital europea
    , propuesta que adaptaría dicho acto jurídico a las necesidades actuales del mercado. La evaluación del Reglamento vigente ha puesto de manifiesto la necesidad de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso tanto al sector privado como al público y que estén disponibles para la gran mayoría de ciudadanos y residentes europeos.

    1.2. Sin embargo, el CESE observa que la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y
    personas con discapacidad
    . Por consiguiente, el CESE pide a la Comisión Europea y a los Estados miembros que establezcan el marco necesario para la campaña de educación e información digitales, que debería servir al mismo tiempo para aumentar la sensibilización en el ámbito de la protección de los datos personales.

    1.3. El CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser discrecional y gratuito. No obstante, la introducción de nuevas soluciones digitales implica necesariamente un tiempo y un gasto considerables. Por ello, el CESE pide a la Comisión Europea que profundice en la evaluación del tiempo necesario para la aplicación real del nuevo Reglamento a fin de no afectar negativamente al mercado y que proporcione un análisis más detallado y una mayor claridad en el Reglamento respecto a los costes previstos de su aplicación.

    1.4. El CESE observa que la sección 9 del Reglamento propuesto prevé el reconocimiento transfronterizo obligatorio de las declaraciones electrónicas de atributos cualificadas emitidas en un Estado miembro. Sin embargo, teniendo en cuenta que las disposiciones del Derecho interno varían a menudo considerablemente entre los Estados miembros, el CESE reconoce la necesidad de aclarar que el reconocimiento de una declaración electrónica de atributos cualificada en un Estado miembro se limita a la confirmación de los hechos, de manera análoga a lo establecido en el apartado 4 del artículo 2 del Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea (Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 200 de 26.7.2016, p. 1) ): «El presente Reglamento no se aplica al reconocimiento en un Estado miembro de los efectos jurídicos relativos al contenido de los documentos públicos expedidos por las autoridades de otro Estado miembro».

    1.5. Desde el punto de vista del CESE, la protección efectiva de los datos debe examinarse especialmente en el contexto de la protección de los derechos fundamentales, en particular el derecho a la intimidad y el derecho a la protección de los datos personales. El CESE respalda por ello plenamente el requisito de que el marco para una identidad digital europea proporcione a los usuarios los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente. El CESE invita a la Comisión y a los Estados miembros a que incluyan en las consultas sobre los aspectos técnicos del marco para una identidad digital europea la creación de un registro que permita a los usuarios rastrear cualquier acceso a sus datos.

    1.6. El CESE desea destacar las preocupaciones en materia de seguridad relacionadas con el proceso de digitalización, en particular las referidas al desarrollo de los enormes sistemas que almacenan y procesan datos vulnerables al fraude y la pérdida. El CESE también es consciente de que actualmente no existe ningún sistema de seguridad capaz de ofrecer una protección completa de los datos. Así pues, el CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos (por ejemplo, el robo o la divulgación de estos). Esta garantía debe ser independiente de que exista o no culpa del proveedor.
  2. Introducción

    2.1. El objeto del presente Dictamen es la propuesta de Reglamento de la CE por el que se modifica el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73) ) («Reglamento eIDAS») en lo que respecta al establecimiento de un marco para una identidad digital europea.

    2.2. Como se señala en la exposición de motivos, el Reglamento eIDAS proporcionaría las siguientes protecciones y beneficios: 1) acceso a soluciones de identidad electrónica altamente seguras y fiables; 2) la garantía de que los servicios públicos y privados puedan apoyarse en soluciones de identidad digital fiables y seguras; 3) la garantía de que las personas físicas y jurídicas puedan utilizar soluciones de identidad digital; 4) la seguridad de que dichas soluciones presenten un conjunto de atributos y permitan el intercambio selectivo de datos de identidad, y de que dichos datos se limiten a las necesidades del servicio específico solicitado; y 5) la garantía de la aceptación de los servicios de confianza en la Unión Europea y de la igualdad de condiciones para su prestación. Las modificaciones propuestas responden al aumento de la demanda de soluciones digitales transfronterizas fiables que satisfagan la necesidad de identificar y autenticar a los usuarios con un elevado nivel de garantía.
  1. Observaciones generales

    3.1. El CESE es consciente de las nuevas demandas del mercado interior en cuanto al desarrollo de servicios electrónicos de identificación y confianza para las transacciones electrónicas transfronterizas. Las soluciones existentes previstas en el Reglamento eIDAS, que empezaron a surtir efectos jurídicos en varias fases a partir de julio de 2016, no satisfacen dichas demandas, lo que se confirma por el hecho de que, en este momento, solo el 59 % de los residentes en la UE tengan acceso a soluciones seguras y fiables de identidad electrónica. Además, el acceso transfronterizo a estos servicios resulta limitado por la falta de interoperabilidad entre los sistemas que ofrecen los distintos Estados miembros.

    3.2. Por ello, el CESE acoge con satisfacción la nueva propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad digital europea, propuesta que
    adaptaría dicho acto jurídico a las necesidades actuales del mercado. Se calcula que las soluciones propuestas en el documento de la Comisión podrían contribuir a aumentar el número de usuarios de la identidad digital hasta el 80 % o incluso el 100 % de todos los ciudadanos y residentes de la UE.

    3.3. El CESE acoge con especial satisfacción las soluciones destinadas a aumentar la seguridad de los datos personales de los usuarios garantizando la discrecionalidad de compartir o no dichos datos y la posibilidad de controlar la naturaleza y la cantidad de datos facilitados a las partes usuarias. Según la propuesta, los Estados miembros mantendrán el control sobre los proveedores de servicios digitales, por lo que garantizarían que los conjuntos de datos sensibles (por ejemplo, relacionados con la salud, la religión y las creencias, las opiniones políticas o el origen racial o étnico) solo sean facilitados por los proveedores de servicios, cuando se les solicite, tras una decisión informada adoptada por el titular de la identidad de conformidad con la legislación nacional aplicable.

    3.4. El CESE señala que el calendario para la aplicación de determinadas disposiciones del nuevo Reglamento es bastante optimista e invita a la Comisión Europea a que, al establecer los plazos de aplicación definitivos, también tenga en cuenta el tiempo necesario para que los proveedores de servicios mejoren sus sistemas informáticos para cumplir las nuevas obligaciones. Por consiguiente, el CESE pide a la Comisión que analice en más profundidad el tiempo necesario para la aplicación real del nuevo Reglamento y, en consecuencia, amplíe el plazo de aplicación a fin de no afectar al mercado pertinente. Por ejemplo, la entrada en vigor del Reglamento obligará a que los actuales proveedores cualificados de servicios de confianza que ofrezcan la posibilidad de firma a distancia basada en dispositivos cualificados de creación de firmas electrónicas se conviertan en proveedores cualificados para ese servicio específico; estos proveedores necesitarán tiempo tanto para poner en práctica los aspectos técnicos como para completar el procedimiento de autorización.

    3.5. El CESE señala que, independientemente de sus beneficios, la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y personas con discapacidad. El CESE reconoce el papel esencial de la educación de la ciudadanía europea para combatir dicha exclusión; al mismo tiempo, dicha educación debe servir para aumentar la sensibilización en el ámbito de la protección de los datos personales.
  1. Disponibilidad de un marco para una identidad digital europea y discrecionalidad de su uso

    4.1. El CESE acoge favorablemente la idea de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso no solo a los servicios públicos, sino también al sector privado. Por otra parte, el CESE está de acuerdo con los intentos de la Comisión Europea de poner un marco para una identidad digital europea a disposición de la inmensa mayoría de los ciudadanos europeos. Debido a los obstáculos que existen para el acceso transfronterizo a los servicios de identidad electrónica (por ejemplo, la falta de interoperabilidad entre los sistemas de identidad electrónica desarrollados por los Estados miembros), muchos residentes de la UE no los utilizan en absoluto. Las nuevas soluciones basadas en las carteras de identidad digital europea pueden contribuir a que al menos el 80 % de los europeos dispongan de servicios en línea fiables.

    4.2. Por tanto, el CESE respalda la propuesta de requerir que los Estados miembros emitan una cartera de identidad europea, un instrumento que permitiría a los usuarios: 1) solicitar y obtener, almacenar, seleccionar, combinar y compartir de forma segura, transparente y rastreable por el usuario, los datos de identificación de persona jurídica y la declaración electrónica de atributos que sean necesarios para autenticarse en línea y fuera de línea con el fin de acceder a servicios públicos y privados en línea; y 2) firmar por medio de firmas electrónicas cualificadas.

    4.3. Además, el CESE acoge favorablemente la propuesta de garantizar que la cartera de identidad digital europea sea igualmente accesible para las personas con discapacidad de conformidad con las disposiciones del anexo I de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70) ), en consonancia con el principio de no discriminación de la UE establecido en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea. Con el fin de evitar la exclusión digital en ese ámbito, el CESE propone que todas las soluciones se desarrollen en cooperación con las instituciones competentes y las ONG para personas con discapacidad, aplicando un enfoque basado en la participación de múltiples partes interesadas.

    4.4. Desde el punto de vista del CESE, el hecho de que el uso de una cartera de identidad digital europea sea discrecional para los ciudadanos y residentes también es un aspecto positivo. El CESE considera que los usuarios no deberían estar obligados a utilizar dicha cartera para acceder a servicios privados o públicos, sino simplemente tener la posibilidad de hacerlo.

    4.5. Desde el punto de vista de la asequibilidad, el CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser gratuito para los usuarios. No obstante, el CESE pide a la Comisión Europea que analice y aclare más detalladamente en el Reglamento los siguientes aspectos: i) el coste de emisión para las personas físicas, ii) los costes (de emisión y uso) para las entidades jurídicas y iii) los costes de añadir atributos de identidad digital a dicha cartera, ya que el CESE considera que cada una de estas adiciones representaría un servicio de confianza, por lo que conllevaría costes para el propietario de la cartera.
  2. Aspectos relativos a la facilidad de uso de un marco para una identidad digital europea

    5.1. El CESE acoge con satisfacción la iniciativa de la Comisión Europea de mejorar la facilidad de uso de los medios de identificación electrónica mediante la creación de un marco común para una identidad digital europea basado en la confianza transfronteriza en las carteras de identidad digital europea.

    5.2. Según la propuesta, la facilidad de uso puede mejorarse con los medios previstos en el nuevo artículo 12 ter del Reglamento eIDAS. Dicho artículo contiene una serie de requisitos relativos al reconocimiento de las carteras de identidad digital europea, dirigidos no solo a los Estados miembros sino también a las partes usuarias privadas prestadoras de servicios y a las «plataformas en línea de muy gran tamaño», definidas en el artículo 25, apartado 1, de la Ley de Servicios Digitales propuesta (Propuesta de Reglamento relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE – COM (2020) 825 final). Sobre la base de estas nuevas disposiciones, algunos sectores privados (transporte, energía, servicios bancarios y financieros, seguridad social, salud, agua potable, servicios postales, infraestructuras digitales, educación y telecomunicaciones) deberán aceptar el uso de carteras de identidad digital europea para la prestación de servicios en los casos en que la legislación nacional o de la UE o las obligaciones contractuales exijan una autenticación reforzada del usuario para la identificación en línea. Según la propuesta de la Comisión, este mismo requisito se aplicaría a las plataformas en línea de muy gran tamaño (por ejemplo, las redes sociales), las cuales deberían aceptar el uso de carteras de identidad digital europea en relación con los atributos mínimos necesarios para un servicio en línea determinado para el que se solicite autenticación, como la acreditación de la edad.

    5.3. El CESE señala que, para garantizar la disponibilidad generalizada y facilidad de uso de los medios de identificación electrónica, incluidas las carteras de identidad digital europea, los proveedores privados de servicios en línea (que no sean considerados «plataformas de muy gran tamaño») deberían participar en el desarrollo de «códigos de conducta» de autorregulación que faciliten una amplia aceptación de los medios de identificación electrónica. La Comisión Europea debe ser la encargada de evaluar la eficacia y facilidad de uso de dichas disposiciones para los usuarios de carteras de identidad digital europea.
  1. Cuestiones relativas a los efectos jurídicos de las carteras de identidad digital europea

    6.1. El CESE respalda la propuesta en lo que se refiere a la mejora del acceso a los servicios públicos digitales, en particular en situaciones transfronterizas.

    6.2. La nueva sección 9 propuesta del Reglamento eIDAS establece que una declaración electrónica de atributos cualificada emitida en un Estado miembro debe reconocerse como declaración electrónica de atributos cualificada en cualquier otro Estado miembro.

    6.3. Sin embargo, por lo que se refiere al Derecho interno de los Estados miembros, que en algunos casos puede diferir significativamente de un Estado a otro, el CESE señala que los atributos cotejados con fuentes auténticas en un Estado miembro deben limitarse únicamente a la confirmación de circunstancias de hecho y no deben producir efectos jurídicos en otros Estados miembros, a menos que los atributos en cuestión se ajusten a su legislación nacional. En esencia, las soluciones jurídicas propuestas no deben afectar al reconocimiento en un Estado miembro de efectos jurídicos relacionados con el contenido de atributos cotejados con fuentes auténticas en otro Estado miembro, por analogía con lo dispuesto en el Reglamento (UE) 2016/1191. Un ejemplo de ello pueden ser determinados datos personales (relativos a la religión o las creencias de una persona). En algunos países de la UE, este tipo de información surte efectos jurídicos (por ejemplo, en Alemania, los datos del registro civil incluyen información sobre la religión, que determina la obligación de pagar un impuesto eclesiástico para casarse por ceremonia religiosa), mientras que en otros países (como Polonia) carece de tales efectos.

    6.4. Por consiguiente, el CESE invita a la Comisión Europea a que considere la posibilidad de aclarar el texto de la sección 9 a fin de dejar claro que el reconocimiento en cualquier otro Estado miembro de una declaración electrónica de atributos cualificada se limita a la confirmación de las circunstancias de hecho relacionadas con el atributo en cuestión y no produce efectos jurídicos en otros Estados miembros a menos que los atributos declarados se ajusten a su legislación nacional.
  2. Aspectos de seguridad

    A. Protección de datos en el contexto de los derechos fundamentales


    7.1. El CESE observa que, debido a la falta de un marco común para una identidad digital europea, en la mayoría de los casos los ciudadanos y otros residentes se enfrentan a obstáculos para el intercambio digital transfronterizo de información relacionada con su identidad, así como para intercambiar dicha información de forma segura y con un nivel elevado de protección de datos.

    7.2. El CESE acoge por ello positivamente los intentos de crear un sistema interoperable y seguro basado en carteras de identidad electrónica europea, que podría mejorar el intercambio de información entre los Estados miembros en relación con las situaciones laborales o los derechos sociales, entre otras cuestiones. En este contexto, el CESE espera que el nuevo marco para una identidad digital europea genere, por ejemplo, posibilidades de aumentar rápidamente las oportunidades de empleo transfronterizo y de ampliar la concesión automática de derechos sociales sin procedimientos de solicitud u otros esfuerzos administrativos adicionales.

    7.3. Sin embargo, desde el punto de vista del CESE, la protección efectiva de los datos es la principal preocupación que debe abordarse en el contexto de la protección de los derechos fundamentales, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales.

    7.4. Por lo tanto, el CESE apoya plenamente el requisito de que el marco para una identidad digital europea proporcione a todas las personas los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente (también en relación con el acceso desde el sector público). Como se indica en la propuesta, esto requerirá asimismo un nivel alto de seguridad en todos los aspectos de la provisión de la identidad digital, incluida la expedición de una cartera de identidad digital europea, y la infraestructura necesaria para la recopilación, el almacenamiento y la divulgación de datos de identidad digital.

    7.5. En este contexto, el CESE acoge favorablemente la propuesta de que los usuarios tengan derecho a revelar de forma selectiva sus atributos, limitándolos a los que sean necesarios en una situación determinada. En virtud de la propuesta, al utilizar la cartera de identidad digital europea el usuario podrá controlar la cantidad de datos que proporciona a terceros, y deberá ser informado de los atributos requeridos para la prestación de un determinado servicio.

    7.6. El CESE apoya la propuesta de separar física y lógicamente los datos personales relacionados con la provisión de carteras de identidad digital europea de cualquier otro dato almacenado por los emisores de dichas carteras, y respalda el requisito de que los proveedores de servicios cualificados de declaración electrónica de atributos deban constituir una entidad jurídica separada.

    7.7. Además de la necesidad de garantizar una protección eficaz de los datos, resulta esencial que los usuarios tengan control sobre sus datos. En ese sentido, el CESE también respaldaría la creación de un marco para una identidad digital europea basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados.

    7.8. El CESE subraya que, para garantizar un elevado nivel de protección jurídica de sus datos, los usuarios deberían tener un mayor control sobre las carteras de identidad de datos europea, en particular mediante la rastreabilidad del acceso a los datos de cada usuario. A tal fin, los aspectos técnicos —que se determinarán durante los debates posteriores a la aprobación de la propuesta— deben incluir la creación de un registro que permita al usuario verificar, previa solicitud, cualquier acceso a sus datos que se produzca.

    B. Otros aspectos relacionados con la seguridad y la responsabilidad

    7.9. De acuerdo con la propuesta, el nuevo marco para una identidad digital europea proporcionará mecanismos para prevenir el fraude y garantizar la autenticación de los datos de identificación personal. La propuesta incluye una disposición que introduce medios que permiten el cotejo de los atributos con fuentes auténticas: esto podría mejorar, por ejemplo, la seguridad en línea de los niños y niñas impidiéndoles acceder a contenidos inadecuados para su edad. El CESE señala que, a nivel nacional, tal protección no existe actualmente o es muy ineficaz.

    7.10. El CESE acoge con satisfacción la idea de que los navegadores web deban garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web previstos en el Reglamento eIDAS. A tal efecto, deben reconocer y mostrar certificados cualificados para la autenticación de sitios web con objeto de ofrecer un nivel alto de seguridad, lo que permitiría a los propietarios de los sitios web demostrar su identidad como propietarios de un sitio web y a los usuarios identificar a los propietarios de los sitios web con un alto grado de certeza. Al mismo tiempo, el CESE considera necesario proporcionar mecanismos de recurso sencillos, rápidos y eficaces para garantizar el desbloqueo de los sitios web que hayan sido marcados indebidamente como peligrosos. También deben establecerse normas en materia de responsabilidad en relación con todos los casos en que un sitio web sea calificado incorrectamente como peligroso.

    7.11. El CESE desea destacar que toda digitalización de datos plantea problemas de seguridad, especialmente por lo que se refiere a los enormes sistemas de almacenamiento y procesamiento de datos, que constituyen una fuente de información vulnerable al fraude y la pérdida. El CESE también es consciente de que hoy por hoy no existe un sistema de seguridad plenamente eficaz (es decir, sin lagunas ni errores) capaz de eliminar por completo esta amenaza.

    7.12. Señala por ello que, para minimizar todas estas situaciones indeseables relacionadas con los datos de los usuarios, la arquitectura técnica del marco para una identidad digital europea desarrollado por los Estados miembros en coordinación con la Comisión debería centrarse en medidas que aumenten la seguridad de los datos y proporcionen mecanismos de control de los datos. Estos mecanismos son importantes, por ejemplo, en contextos en los que los datos recabados de los usuarios se utilicen para fines distintos de los previstos inicialmente. Al mismo tiempo, el CESE considera que la arquitectura técnica debe desarrollarse respetando los derechos fundamentales y el principio de soberanía de los Estados miembros.

    7.13. El CESE constata que el artículo 13, apartado 1, del Reglamento eIDAS establece que los proveedores de servicios de confianza serán responsables por los daños causados de forma intencionada o por negligencia a cualquier persona física o jurídica como consecuencia del incumplimiento de las obligaciones derivadas de dicho Reglamento (y de las obligaciones de gestión de los riesgos para la ciberseguridad contempladas en el artículo 18 de la Directiva SRI2 propuesta, según se establece en la propuesta de la Comisión). Esta disposición debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad (artículo 13, apartado 3).

    7.14. En el contexto de las preocupaciones relativas a la responsabilidad, el CESE desea señalar que las cuestiones relacionadas con la definición de los daños, su cuantía y la indemnización correspondiente están reguladas por el Derecho interno de los Estados miembros. La responsabilidad de los proveedores de servicios de confianza puede verse limitada en virtud de las disposiciones pertinentes del Derecho interno y de las «políticas de prestación de servicios», que son definidas por los proveedores.

    7.15. El CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos, entre otras el robo, pérdida o divulgación de datos o el uso de estos para fines distintos de los previstos originalmente. Esta obligación debe incluir todas las situaciones mencionadas, independientemente de que exista o no culpa del proveedor (por dolo o negligencia).

    7.16. Cualquier robo, divulgación no autorizada o pérdida de datos (especialmente datos personales) puede causar un daño a largo plazo a su propietario. Una vez difundida la información digital, muchas entidades pueden hacerse con ella a lo largo del tiempo en contra de la voluntad de su propietario. El CESE anima a la Comisión y a los Estados miembros a que busquen y desarrollen mecanismos eficaces que amparen a los propietarios de los datos en tales casos.

    7.17. Las soluciones propuestas del nuevo sistema obligarán a los proveedores de servicios a mejorar significativamente sus sistemas de seguridad electrónica a un nivel mucho más elevado, prestando especial atención a la ciberseguridad. El CESE prevé que esto conlleve costes significativos y una modernización de la infraestructura informática actual y pueda suponer una carga excesiva para algunos proveedores de servicios, que podría incluso dar lugar a la desaparición, en algunos mercados, de los proveedores de servicios que no puedan permitirse tales inversiones en un breve período de tiempo. Por lo tanto, el CESE considera que la Comisión y los Estados miembros deberían buscar soluciones que protejan a los proveedores frente a la discriminación en este ámbito y permitan un «aterrizaje suave» en ese sentido, en particular ofreciendo la posibilidad de garantizar el cumplimiento de los nuevos requisitos en varias fases, dentro de un plazo razonable.


Bruselas, 20 de octubre de 2021
La Presidenta
del Comité Económico y Social Europeo
Christa SCHWENG

Sistemas VERI*FACTU


El Ministerio de Hacienda y Función publica está preparando un Real Decreto en el que, entre otros aspectos, se establecen los requisitos de los programas de facturación que deberán remitir por medios electrónicos a la Agencia Estatal de Administración Tributaria de forma continuada, segura, correcta, íntegra, automática, consecutiva, instantánea y fehaciente todos los registros de facturación generados.

Los sistemas informáticos que cumplan los requisitos tendrán la consideración de “Sistemas de emisión de facturas verificables” o “Sistemas VERI*FACTU”.

Aunque es suficiente una Declaración responsable por parte del fabricante del software respecto al cumplimiento de la normativa, no queda clara la forma en la que se acredita dicho cumplimiento.

Parece ser que la auditoría externa será la formula con la mayor seguridad jurídica para las empresas porque los requisitos son complejos para no especialistas.

Contacte con EADTrust en el 917160555 para conocer más sobre las auditorías de contabilidad certificada.

ICALTI: Auditoría de Contabilidad Certificada



ICALTI es el anagrama que recoge los requisitos de la Contabilidad Certificada incorporados a la LGT (Ley General Tributaria) por la Ley Antifraude (Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego).

Con el objetivo de no permitir la producción y tenencia de programas y sistemas informáticos que permitan la manipulación de los datos contables y de gestión, se establece la obligación de que los sistemas informáticos o electrónicos que soporten los procesos contables o de gestión empresarial se ajusten a ciertos requisitos que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros (ICALTI), requisitos cuya especificación técnica puede ser objeto de desarrollo reglamentario, el cual podría contemplar la obligación de someterlo a certificación.

Nota sobre silogismos.

En concordancia con los nuevos requisitos del software de contabilidad, facturación y gestión, se establece un régimen sancionador específico, para las empresas desarrolladoras de software y para los usuarios que lo usen (o que meramente dispongan de el) cuando no cuente con la adecuada certificación.

Desde el pasado 11 de octubre de 2021, tanto empresas como autónomos deben cumplir con la premisa de que sus programas informáticos no permitan llevar contabilidades distintas, permitan no reflejar, total o parcialmente, la anotación de transacciones realizadas, permitan registrar transacciones distintas de las anotaciones realizadas y permitan alterar transacciones ya registradas, pues las infracciones reguladas en el artículo 201.bis por estos motivos son de aplicación desde el 11 de octubre y por ello es recomendable que, se realicen las evaluaciones y revisiones en cada caso concreto, así como las pruebas informáticas necesarias, para cerciorarse de que sus programas contables, de facturación o de gestiones han sido actualizados y cumplen con lo dispuesto en esta norma.

En la Resolución de 26 de enero de 2022, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se aprueban las directrices generales del Plan Anual de Control Tributario y Aduanero de 2022 se recoge un apartado para identificar actuaciones en este sentido:

El empleo de sistemas informáticos que permiten y facilitan la alteración de los registros contables de todo tipo, será en 2022 objeto aún de mayor atención y control si cabe que en ejercicios previos, extendiéndose estas labores de control a la fabricación, producción y comercialización de los mismos en el marco del desarrollo reglamentario de esta materia previsto tras la ley del fraude de 2021. El uso de este software de doble uso en beneficio del fraude ha conllevado una modificación normativa que tiene como finalidad erradicar estas prácticas fraudulentas (incorporación por Ley 11/2021 del apartado j) al artículo 29.2 de la LGT y nuevo artículo y 201.bis de la LGT). La comprobación de los sistemas para asegurar que reúnen los requisitos de integridad, conservación, trazabilidad y legibilidad de los registros tributarios, la interdicción de interpolaciones, omisiones o alteraciones ilegítimas de las que no quede la debida anotación en los sistemas, será una prioridad. En el contexto de una estrategia claramente preventiva, se tratará también de alcanzar esos objetivos trabajando conjuntamente con asociaciones de empresas especializadas en el desarrollo o comercialización de software de gestión, como forma de evitar que se desarrollen, difundan, comercialicen, descarguen o usen en el ámbito empresarial sistemas que permitan la supresión de ventas contraviniendo las disposiciones legales o reglamentarias tributarias.

Por otro lado, el, Plan Anual Normativo 2022 de la Administración General del Estado contempla la publicación durante 2022 de un Real Decreto que aclare algunos de los aspectos a cumplir de forma más detallada:

REAL DECRETO POR EL QUE SE APRUEBA EL REGLAMENTO QUE ESTABLECE LOS REQUISITOS QUE DEBEN ADOPTAR LOS SISTEMAS Y PROGRAMAS INFORMÁTICOS O ELECTRÓNICOS QUE SOPORTEN LOS PROCESOS CONTABLES, DE FACTURACIÓN O DE GESTIÓN DE EMPRESARIOS Y PROFESIONALES, ASÍ COMO LAS FACTURAS, Y LA ESTANDARIZACIÓN DE FORMATOS DE LOS REGISTROS DE FACTURACIÓN.

Objetivo: Desarrollo reglamentario previsto en artículo 29.2.j) de la ley 58/2003, de 17 de diciembre, de las especificaciones técnicas que deban reunir los dispositivos electrónicos y los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, así como también los requisitos para estar debidamente certificados y sus formatos estandarizados para su legibilidad.

Interconexión de sistemas y programas informáticos o electrónicos que soportan los procesos contables, fiscales y de gestión empresarial, y su compatibilidad con los sistemas de clientes, proveedores y administraciones públicas. Aseguramiento de la calidad de la información, la confianza en la inalterabilidad indebida de los datos, la trazabilidad de los mismos y la interdicción del uso del llamado software de supresión y manipulación de ventas.

EADTrust ayuda a las empresas desarrolladoras de software de contabilidad, facturación y gestión a cumplir los requisitos ICALTI y puede realizar una auditoría de buenas prácticas para acreditar su cumplimiento. Contacte, llamando al 91 716 0555.

ICALTI


De vez en cuando, aparecen retahilas de palabras que van juntas y que permiten formar siglas para designarlas y para recordarlas.

Seguramente el caso paradigmático es el de las sociedades y organismos designados por abreviaturas formadas por las iniciales de sus términos: AENA, INAP, SEDIA, DGTDAJ, IBM, NCR,…

A veces la función de recordatorio es la relevante y ciertas letras se rodean de otras que permiten formar palabas memorables.

Recuerdo de la asignatura de lógica la designación de diferentes silogismos por sus premisas y conclusiones, lo que se remonta a Aristóteles y a la filosofía griega. Barbara, Darii, Ferio, Celarent designan silosigmos AAA, AII, EIO, EAE:

  • A: premisa (o conclusión) universal afirmativa
  • E: premisa (o conclusión) universal negativa
  • I: premisa (o conclusión) particular afirmativa
  • O: premisa (o conclusión) particular negativa

Aunque quizá los términos que designaban los silogismos no resulten tan memorables en nuestros dias.

En relación con la protección de datos de la antigua LOPD, los derechos ARCO designaban los derechos de Acceso, Rectificación, Cancelación y Oposición.

Tras la publicación del RGPD (Reglamento General de Protección de Datos) los términos que permiten recordar la nueva lista de derechos han cambiado:

  • ARCOPOL: Se refiere a Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido (o Supresión, o Cancelación) y Limitación.
  • ARSULIPO: Acceso, Rectificación, SUpresión (Olvido), LImitación del Tratamiento, Portabilidad y Oposición
  • SOPLAR: Supresión, Oposición, Portabilidad, Limitación, Acceso y Rectificación.

Y llegamos a ICALTI.

Son los requisitos de la Contabilidad Certificada incorporados a la LGT (Ley General Tributaria) por la Ley Antifraude (Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego).

Con el objetivo de no permitir la producción y tenencia de programas y sistemas informáticos que permitan la manipulación de los datos contables y de gestión, se establece la obligación de que los sistemas informáticos o electrónicos que soporten los procesos contables o de gestión empresarial se ajusten a ciertos requisitos que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, requisitos cuya especificación técnica puede ser objeto de desarrollo reglamentario, el cual podría contemplar la obligación de someterlo a certificación.

En concordancia con los nuevos requisitos del software de contabilidad, facturación y gestión, se establece un régimen sancionador específico, para las empresas desarrolladoras de software y para los usuarios que lo usen (o que meramente dispongan de el) cuando no cuente con la adecuada certificación.

EADTrust ayuda a las empresas desarrolladoras de software de contabilidad, facturación y gestión a cumplir los requisitos ICALTI y puede realizar una auditoría de buenas prácticas para acreditar su cumplimiento. Contacte, llamando al 91 716 0555.

Nota sobre silogismos.

El modo del silogismo es la forma que toma el silogismo según la cantidad y la cualidad de las premisas y de la conclusión. De las 256 combinaciones posibles de los «modos» de los silogismos solo resultan válidas 19 y en el contexto de la lógica aristotélica se memorizan con los siguientes términos:

AAA, EAE, AII, EIOBARBARA, CELARENT, DARII, FERIO
EAE, AEE, EIO, AOOCESARE, CAMESTRES, FESTINO, BAROCO
AAI, IAI, AII, EAO, OAO, EIODARAPTI, DISAMIS, DATISI, FELAPTON, FERISON, BOCARDO
AAI, AEE, IAI, EAO, EIOBAMALIP, CAMENES, DIMARIS, FRESISON, FESAPO

Auditoría de Contabilidad Certificada


Recientemente se ha publicado en España la denominada «Ley Antifraude» que entre los muchos aspectos que trata, incluye una sección para imponer nuevos requisitos a los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión, a las empresas que los crean y a los trabajadores autónomos y empresas que los usan, con sanciones desproporcionadas que presumen la culpabilidad de las empresa y autónomos respecto a la realización de actividades de fraude tributario por el mero hecho de desarrollar o usar software «no certificado». Y los requisitos para ese software se limitan a indicar de forma ambigua que deberán aportar «integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad» (ICALTI, por sus siglas).

También se indica que «ya si eso» reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas.

Se crea una gran inseguridad jurídica ya que aunque en el régimen sancionador se indica:

e) no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley;

f) no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados.

Lo que podría dar a entender que la posibilidad de sanciones solo se podría producir tras la publicación de las «especificaciones técnicas», en el conjunto de las descripción de las sanciones no queda tan claro.

Por eso parece recomendable iniciar procesos de auditoría de contabilidad certificada a las plataformas de software de de contabilidad y facturación y a las que se instalan en terminales de punto de venta lo antes posible para demostrar «debida diligencia» en caso de que las autoridades tributarias contacten con nosotros. De esta forma, aunque no haya culminado la modificación del software para cumplir los nuevos requisitos de la norma , ya se puede demostrar que «estamos en ello».

EADTrust es una de las entidades que pueden ayudar a entender los nuevos requisitos, a implementarlos en el software y a auditarlo posteriormente para comprobar que están bien implementados.

La «Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego» es la norma indicada.

El artículo decimotercero de esta Ley modifica la Ley General Tributaria en varios aspectos y en lo relativo al software de contabilidad, facturación y gestión  modifica el apartado 2 del artículo 29 para incluir los requisitos indicados. También crea un artículo 201 bis con el régimen sancionador asociado.

En el apartado 2 del artículo 29, de la Ley 58/2003, de 17 de diciembre, General Tributaria, se añade un nuevo párrafo con la letra j) que tiene la siguiente redacción:

“j) La obligación, por parte de los productores, comercializadores y usuarios, de que los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, sin interpolaciones, omisiones o alteraciones de las que no quede la debida anotación en los sistemas mismos. Reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas, así como la obligación de que los mismos estén debidamente certificados y utilicen formatos estándar para su legibilidad.”

Como se ha indicado, ese mismo artículo 13 crea un nuevo artículo 201 bis en la Ley 58/2003, de 17 de diciembre, General Tributaria:

Artículo 201 bis. Infracción tributaria por fabricación, producción, comercialización y tenencia de sistemas informáticos que no cumplan las especificaciones exigidas por la normativa aplicable.

1. Constituye infracción tributaria la fabricación, producción y comercialización de sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión por parte de las personas o entidades que desarrollen actividades económicas, cuando concurra cualquiera de las siguientes circunstancias:

a) permitan llevar contabilidades distintas en los términos del artículo 200.1.d) de esta Ley;

b) permitan no reflejar, total o parcialmente, la anotación de transacciones realizadas;

c) permitan registrar transacciones distintas a las anotaciones realizadas;

d) permitan alterar transacciones ya registradas incumpliendo la normativa aplicable;

e) no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley;

f) no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados.

2. Constituye infracción tributaria la tenencia de los sistemas o programas informáticos o electrónicos que no se ajusten a lo establecido en el artículo 29.2.j) de esta Ley, cuando los mismos no estén debidamente certificados teniendo que estarlo por disposición reglamentaria o cuando se hayan alterado o modificado los dispositivos certificados.

La misma persona o entidad que haya sido sancionada conforme al apartado anterior no podrá ser sancionada por lo dispuesto en este apartado.

3. Las infracciones previstas en este artículo serán graves.

4. La infracción señalada en el apartado 1 anterior se sancionará con multa pecuniaria fija de 150.000 euros, por cada ejercicio económico en el que se hayan producido ventas y por cada tipo distinto de sistema o programa informático o electrónico que sea objeto de la infracción. No obstante, las infracciones de la letra f) del apartado 1 de este artículo se sancionarán con multa pecuniaria fija de 1.000 euros por cada sistema o programa comercializado en el que se produzca la falta del certificado.

La infracción señalada en el apartado 2 anterior, se sancionará con multa pecuniaria fija de 50.000 euros por cada ejercicio, cuando se trate de la infracción por la tenencia de sistemas o programas informáticos o electrónicos que no estén debidamente certificados, teniendo que estarlo por disposición reglamentaria, o se hayan alterado o modificado los dispositivos certificados.

Por la Disposición final séptima, estas modificaciones entran en vigor transcurridos tres meses desde la entrada en vigor de la Ley, lo que se produce el 11 de octubre de 2021.

Aunque a finales de septiembre de 2021 no se han publicado formalmente especificaciones técnicas, sí que existen especificaciones semejantes para la digitalización certificada, en particular los requisitos c) y d) del apartado 1 del artículo 7 de la «Orden EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación.«

Las entidades que conocen y se ha adaptado a las especificaciones de TIcket BAI publicadas por las Diputaciones Forales del País Vasco para el denominado «Software Garante» están un paso más cerca de poder cumplir las nuevas especificaciones, aunque tienen aspectos diferentes.

La denominación de «Contabilidad Certificada» se está empezando a usar por semejanza con la «Digitalización Certificada» que ya cuenta con requerimientos más precisos y consolidados, ya que se publicaron en 2007.

En este contexto, EADTRUST lleva a cabo procesos de consultoría y auditoría para asegurar el cumplimiento de los objetivos de la norma en los softwares de contabilidad existentes, contando con su experiencia en auditorías de Digitalización Certificada.

Tras auditar el cumplimiento de las normas en lo que se refiere a la nueva obligación de Ley 11/2021, de 9 de julio respecto a los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión, EADTRUST expide un certificado de cumplimiento.

Public Key of Spain CSCA for European digital COVID certificate


In order to configure DGCG (Digital Green Certificate Gateway) participating countries need to deliver information regarding CSCA (Certificate Signing Certificate Authority), and specifically Public Key of the certificate of the CA used to sign the DSC (Document Signing Certificate) of every Body in charge of issuing DGC (Digital Green Certificates) . Remember that Health CSCA is different from CSCA used in Passports although both environments use similar terminology.

Trust List managed by Gateway

The ECC p-256 Public Key of Spain CSCA to be used for European Digital Green Certificates is

—–BEGIN PUBLIC KEY—–MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1rjpdfCTyXE8RdrbW8rbLagURmGQerDBqh0WEaRCaJpqDuqKy0Zs1fXBhSPJQ4334X0TdMAWBIoLnLBC2up9Lg==
—–END PUBLIC KEY—–

Principles regarding validity

  • Rule 0: A certificate needs to be valid when it is used to sign/seal.
  • Rule 1: The DSC needs to be valid longer than anything it signs. So, the DSC expiry date must be >= than expiration date of the document it signs.
  • Rule 2: The CSCA needs to be valid longer than any DSC it signs.
  • Rule 3: If any certificate has a shorter ‘key usage period’ – then the signature has to be created in that period.

More info:

Para más información: +34 91716055

La Comisión Europea impulsa nuevos Reglamentos para los servicios y las plataformas digitales


El pasado 15 de diciembre 2020, la Comisión Europea ha hecho públicos los borradores de futuros Reglamentos Europeos que supondrán una ambiciosa reforma del espacio digital, con nuevas normas para los servicios digitales, incluidas las redes sociales, los mercados en línea y otras plataformas en línea que operan en la Unión Europea: el Reglamento de Servicios Digitales (que además modifica la Directiva 2000/31/EC)  y el Reglamento de Mercados Digitales.

Al adoptar la forma de Reglamento, serán de directa aplicación en todos los paises miembros de la Unión Europea con lo que armonizará su aplicación en todo el mercado único fomentando la innovación, el crecimiento y la competitividad.

Los valores europeos están en el centro de ambas propuestas. Se pretende que las nuevas normas protejan mejor a los consumidores y sus derechos fundamentales en línea, y que favorezcan mercados digitales más justos y abiertos para todos.

Además, las nuevas normas prohibirán que las plataformas en línea puedan imponer condiciones desequilibradas a los usuarios de forma unilateral.

Margrethe Vestager, Vicepresidenta Ejecutiva de la iniciativa «Una Europa adaptada a la era digital» dentro de las prioridades de la Comisión Europea afirmó  «Las dos propuestas tienen un único propósito: asegurarnos de que nosotros, como usuarios, tengamos acceso a una amplia selección de productos y servicios seguros en línea. Y que las empresas que operan en Europa pueden competir libre y justamente en línea al igual que lo hacen fuera de línea. Deberíamos ser capaces de hacer nuestras compras de una manera segura y confiar en las noticias que leemos. Porque lo que es ilegal fuera de línea es igualmente ilegal en línea.»

El Comisario de Mercado Interior, Thierry Breton,  ha declarado:  «Muchas plataformas en línea han llegado a desempeñar un papel central en la vida de los ciudadanos y empresas europeos, e incluso de la sociedad y de la democracia en general. Con las propuestas anunciadas, estamos organizando nuestro espacio digital para las próximas décadas. Con normas armonizadas, obligaciones ex ante, mejor supervisión, aplicación rápida y sanciones disuasorias, nos aseguraremos de que cualquier iniciativa que ofrezca y utilice servicios digitales en Europa se beneficie de la seguridad, la confianza, la innovación y las oportunidades de negocio. «

Reglamento de Servicios Digitales

El panorama de los servicios digitales es significativamente diferente hoy en día respecto al de hace 20 años, cuando se adoptó la Directiva sobre comercio electrónico. Los intermediarios en línea se han convertido en actores vitales en la transformación digital. Las plataformas en línea, en particular, han creado importantes beneficios para los consumidores y la innovación, han facilitado el comercio transfronterizo dentro y fuera de la Unión, así como han abierto nuevas oportunidades a una variedad de empresas y comerciantes europeos. Al mismo tiempo, pueden utilizarse como vehículo para difundir contenido ilegal o vender bienes o servicios ilegales en línea. Algunos actores muy grandes han surgido como espacios cuasi-públicos para el intercambio de información y el comercio en línea. Han pasado a ser de naturaleza sistémica y plantean riesgos particulares para los derechos de los usuarios, los flujos de información y la participación pública.

En virtud del Reglamento de Servicios Digitales, se aplicarán obligaciones vinculantes en toda la Unión Europea a todos los servicios digitales que conecten a los consumidores con bienes, servicios o contenidos, lo que incluye nuevos procedimientos para una eliminación más rápida de los contenidos ilegales, así como una protección integral de los derechos fundamentales de los usuarios en línea. El nuevo marco legal reequilibrará los derechos y responsabilidades de los usuarios, las plataformas intermediarias y las autoridades públicas y se basará en los valores europeos, incluido el respeto de los derechos humanos, la libertad, la democracia, la igualdad y el Estado de Derecho. La propuesta complementa el Plan de Acción Europeo para la Democracia con el objetivo de hacer que las democracias sean más resilientes.

Concretamente, el Reglamento de Servicios Digitales introducirá una serie de nuevas obligaciones armonizadas en toda la Unión Europeapara los servicios digitales, cuidadosamente graduadas sobre la base del tamaño y el impacto de esos servicios, tales como:

  • Normas para la eliminación de bienes, servicios o contenidos ilegales en línea;
  • Salvaguardas para los usuarios cuyo contenido ha sido eliminado erróneamente por las plataformas;
  • Nuevas obligaciones para que las plataformas muy grandes adopten medidas basadas en el riesgo para evitar el abuso de sus sistemas;
  • Amplias medidas de transparencia, incluidas las relativas a la publicidad en línea y a los algoritmos utilizados para recomendar contenido a los usuarios;
  • Nuevos poderes para examinar el funcionamiento de las plataformas, incluso facilitando el acceso de los investigadores a los datos clave de la plataforma;
  • Nuevas normas sobre trazabilidad de los usuarios empresariales en los mercados en línea, para ayudar a localizar a los vendedores de bienes o servicios ilegales;
  • Un proceso de cooperación innovador entre las autoridades públicas para garantizar una aplicación eficaz en el mercado único.

Las plataformas que llegan a más del 10 % de la población de la UE (45 millones de usuarios) se consideran de naturaleza sistémica y están sujetas no sólo a obligaciones específicas de controlar sus propios riesgos, sino también a una nueva estructura de supervisión. Este nuevo marco de rendición de cuentas estará compuesto por un consejo de coordinadores nacionales de servicios digitales, con poderes especiales para la Comisión en la supervisión de plataformas muy grandes, incluida la capacidad de sancionarlos directamente.

Reglamento de Mercados Digitales

El Reglamento de Mercados Digitales aborda las consecuencias negativas derivadas de determinados comportamientos de plataformas que actúan como «porteros» o «controladores de acceso» (gatekeepers) digitales para el mercado único. Se trata de plataformas que tienen un impacto significativo en el mercado interior, sirven como un importante portal para que los usuarios empresariales lleguen a sus clientes y que gozan, o disfrutarán previsiblemente, de una posición arraigada y duradera. Esto puede otorgarles el poder de establecersus propias reglas privadas y de funcionar como cuellos de botella entre las empresas y los consumidores. A veces, estas empresas tienen control sobre ecosistemas de plataformas enteras. Si un controlador de acceso se dedicara a prácticas comerciales desleales, podría impedir o ralentizar que los servicios valiosos e innovadores de sus usuarios de negocios y competidores lleguen al consumidor. Ejemplos de estas prácticas podrían incluir el uso injusto de datos de empresas que operan en estas plataformas, o situaciones en las que los usuarios están bloqueados en un servicio en particular y tienen opciones limitadas para cambiar a otro.

El Reglamento de Mercados Digitales se basa en el Reglamento sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea al, sobre las conclusiones del Observatorio de la UE sobre la economía de las plataformas en línea, y en la amplia experiencia de la Comisión en el tratamiento de los mercados en línea a través de la aplicación de la normativa de competencia en vigor. En particular, establece normas armonizadas que definen y prohíben esas prácticas desleales por parte de los porteros y proporcionan un mecanismo de observancia basado en investigaciones de mercado. El mismo mecanismo garantizará que las obligaciones establecidas en el Reglamento se mantengan actualizadas en la realidad digital en constante evolución.

Concretamente, el Reglamento de Mercados Digitales:

  • Obligará sólo a los principales proveedores de grandes plataformas de servicios más propensos a desarrollar prácticas desleales, como los motores de búsqueda, las redes sociales o los servicios de intermediación en línea, que cumplen los criterios legislativos objetivos que deben designarse como controladores de acceso;
  • Definirá los umbrales cuantitativos como base para identificar a los potenciales controladores de acceso. La Comisión también tendrá facultades para designar a ciertas empresas como porteros tras una investigación de mercado;
  • Prohibirá una serie de prácticas que son claramente injustas, como impedir que los usuarios puedan desinstalar cualquier software o aplicaciones preinstaladas;
  • Exigirá a los controladores de acceso que pongan en marcha proactivamente ciertas medidas, en particular aquellas que permitan que el software de terceros funcione e interopere correctamente con sus propios servicios;
  • Impondrá sanciones por incumplimiento, que podrían suponer multas de hasta el 10 % del volumen de negocios mundial del controlador de acceso, para garantizar la eficacia de las nuevas normas. En el caso de los infractores recurrentes, estas sanciones también pueden implicar la obligación de adoptar medidas estructurales, que podrían extenderse a la enajenación de determinadas empresas, cuando no se disponga de ninguna otra medida alternativa igualmente eficaz para garantizar el cumplimiento;
  • Permitirá que la Comisión lleve a cabo investigaciones de mercado específicas para evaluar si es necesario añadir nuevas prácticas y servicios de control de acceso a esta regulación, a fin de garantizar que las nuevas normas de portero se mantengan al día con el ritmo rápido de los mercados digitales.

Próximos pasos

El Parlamento Europeo y los Estados miembros debatirán las propuestas de la Comisión en el procedimiento legislativo ordinario. Si se adopta, el texto final será directamente aplicable en toda la Unión Europea.

Trasfondo

El Reglamento de Servicios Digitales y el Reglamento Mercados Digitales  son la respuesta europea al profundo proceso de reflexión en el que la Comisión, los Estados miembros de la UE y muchas otras jurisdicciones han participado en los últimos años para comprender los efectos que la digitalización, y más concretamente, el desarrollo de las plataformas en línea, tienen en los derechos fundamentales, la competencia y, en general, en nuestras sociedades y economías.

La Comisión consultó a una amplia gama de partes interesadas en la preparación de este paquete legislativo. Durante el verano de 2020, la Comisión consultó a las partes interesadas para que apoyaran aún más la labor de análisis y recopilación de pruebas para analizar las cuestiones específicas que pueden requerir una intervención a nivel de la UE en el contexto del Reglamento de Servicios Digitales y la Nueva Herramienta de Competencia, que sirvió de base para la propuesta sobre el Reglamento de Mercados Digitales. Las consultas públicas abiertas en preparación del paquete legislativo, que se desarrollaron entre junio de 2020 y septiembre de 2020, recibieron más de 3000 respuestas de todo el espectro de la economía digital y de todo el mundo.

Documentos:

El Pleno del Congreso aprueba el Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza


El Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza ha quedado aprobado en ell Congreso el 29/10/2020 una vez votados y ratificados los cambios realizados durante su tramitación en el Senado, con 319 votos a favor, 9 en contra y 19 abstenciones.

La norma, que entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado (BOE), adapta el ordenamiento jurídico español al marco regulatorio de la Unión Europea evitando la existencia de «vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de servicios electrónicos de confianza» y creando otros en los que colisiona con el Reglamento EIDAS. (Reglamento UE 910/2014).

Originalmente, su objetivo era complementar el citado reglamento en aquellos aspectos en los que delega la regulación a los países miembros.

Este Proyecto de Ley regula ciertos aspectos de los nuevos servicios electrónicos de confianza previstos en el Reglamento EIDAS, entre los que se encuentra la firma electrónica de persona física, ya recogida en la normativa española anterior, que ahora se deroga.

Entre los nuevos servicios se incluyen el sello electrónico de persona jurídica, los servicios de validación y conservación de firmas y sellos cualificados, el servicio de entrega electrónica certificada y la expedición de certificados cualificados para servidores web, que habiliten el protocolo de cifrado TSL.

En su artículo 6, uno de los puntos en los que colisiona con el Reglamento EIDAS, establece que el período de vigencia de los certificados electrónicos no será superior a cinco años. La normativa técnica relativa a la criptografía creada en desarrollo del Reglamento permite diferentes duraciones de los certificados , según la robustez de los algoritmos criptográficos.

Enmiendas del Senado

En cuanto a las enmiendas introducidas por el Senado, el Pleno de la Cámara Baja ha aceptado la modificación del apartado 1 del artículo 6 sobre la identidad y atributos de los titulares de los certificados cualificados.

De esta manera, en los supuestos de certificado de firma electrónica y de autenticación de sitios web expedidos a personas físicas, se podrán sustituir el DNI, el número de identidad de extranjero  o número de identificación fiscal por otro código o número identificativo «únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo». Esta previsión también es contraria al Reglamento EIDAS, ya que la normativa técnica creada en su desarrollo permite utilizar diferentes códigos numéricos asociados a la identidad, como el número de pasaporte, el número de la seguridad social, el número de colegiado o un número de identificación profesional. La posibilidad de usar números diferentes del NIE o del número de DNI era una demanda de la sociedad que lo considera necesario para proteger la privacidad del firmante, y el Congreso aprobó una enmienda en su trámite que lo permitía, pero que fue revertida inexplicablemente en la tramitación de la norma en el Senado.

Del mismo modo, la Cámara Baja ha ratificado los cambios introducidos por el Senado en el artículo 7, apartado 2, que establece que/para que mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante videoconferencia o vídeo-identificación.

El Pleno del Congreso también ha aprobado la modificación realizada por la Cámara Alta en el artículo 7, apartado 4, sobre la comprobación de datos por parte de prestadores de servicios de confianza mediante «documentos públicos, si resultan exigibles». Es una pena que se haya orillado la mención a documentos privados, considerando el grado de desarrollo de la figura del mandato en España, que coexiste con el poder notarial y que se había incluido en las enmiendas propuestas por el Congreso en la primera fase del trámite parlamentario, revertidas en el Senado.

Asimismo, la Cámara Baja ha ratificado la introducción del artículo 10 sobre la responsabilidad de los prestadores de servicios electrónicos de confianza y el artículo 10 (bis), que modifica las limitaciones de responsabilidad de servicios electrónicos de confianza.

El Pleno del Congreso también ha aprobado la modificación del artículo 11, de modo que los prestadores de servicios de confianza no cualificados figurarán «en una lista diferente» a la de los cualificados con la descripción detallada y clara de las características propias y diferenciales entre unos y otros. Algo que, en realidad, ya está sucediendo y que no precisaba de mención legal expresa.

Los artículos 1 y 2 de la disposición adicional tercera de este Proyecto de Ley también han sido ratificados por el Pleno del Congreso. De este modo, se reconoce que el DNI «es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos». Este es otro de los errores introducidos en el Senado, al cambiar una enmienda introducida en el Congreso . El DNI electrónico contiene dos certificados cualificados: uno de firma electrónica y otro de autenticación. Todos los certificados cualificados (ya sean de firma, ya sean de autenticación) deben ser válidos para acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos (de firma). Hacer la mención expresa al DNIe puede dar a entender que se trata de un caso singular, y no un caso particular de un concepto general.

Queda un sabor agridulce al finalizar el proceso parlamentario que ha conducido a la aprobación de la Ley. Por lo menos ha quedado derogada la Ley 59/2003 que generaba muchos problemas de interpretación en lo que no coincidía con el Reglamento UE 910/2014.

Pero muchos de los errores de la Ley 59/2003 se mantienen en la nueva Ley.

Una nueva esperanza: el Reglamento EIDAS está en un proceso de revisión que ha pasado en 2020 por una encuesta promovida por la Comisión Europea y que en unos meses dará lugar a un nuevo Reglamento. Una vez se publique el nuevo Reglamento habrá una nueva oportunidad de corregir los errores de la «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza» cuando haya que tramitar la próxima ley. Esperemos que no pasen otros 17 años.