Archivo de la categoría: Conformidad normativa

EPREL Suppliers Verification Guide


The information needed to register a company in the EPREL database and to manage the energy label is summarised in the document «Suppliers-Verification-Guide».

In recent months, several versions of this document have been generated and the links to the different versions that were included in many articles on the EPREL topic no longer work.

The history of changes is as follows:

1.020 December 2021First document version published in December 2021.
1.0112 January 2022Sections «Electronic sealing» and «Verify the organisation» have been updated with emphasis on the “qualified” requirement for seals provided by “qualified” trust service providers.
1.0213 January 2022Section «Important notes before sealing the verification file» updated with a correction for Northern Ireland accepted country codes.
1.037 February 2022Sections ”Create your organization”, Electronic Sealing” and “Verifying the organisation” have been updated with the new electronic verification requirements and accepted formats for qualified electronic seals. 
1.0422 February 2022References to the EUID and to ETSI standard improved and Annex 3 added.
1.056 April 2022Annex 2, “FAQs”. New FAQs added on “verification”.
1.0622 August 2022Emphasizing the fact that EPREL accepts only Qualified Electronic Seals.
1.0731 October 2022Improvements added to the Manage Organisation section

I have done some research to come up with the different versions and I include them below:

Versión 1.03 (february 2022) originally available at «https://ec.europa.eu/info/sites/default/files/energy_climate_change_environment/suppliers_verification_guide_v1.03_0.pdf»

Versión 1.04 (february 2022) originally available at «https://ec.europa.eu/info/sites/default/files/energy_climate_change_environment/suppliers_verification_guide_v1.04_0.pdf»

Versión 1.05 (april 2022) originally available at «https://ec.europa.eu/info/sites/default/files/energy_climate_change_environment/suppliers_verification_guide_v1.05_0.pdf»

Versión 1.07 (october 2022) originally available at «https://commission.europa.eu/system/files/2022-11/Suppliers%20Verification%20Guide.pdf»

One of the required items for the Companies to register in the EPREL Platform is a Legal Person Qualified Certificate to generarte Qualified Seals (QSEALS), which can be buyed in EAD TRUST European Agency of Digtal Trust in the link: QSEAL

Aviso a Operadoras de Telecomunicacion, Eléctricas y servicios al público de especial trascendencia económica.


Recientemente he cambiado de operador eléctrico y de operador de telecomunicaciones. Empresas muy grandes.

Y he comprobado que no tienen departamento de Asesoría Jurídica. O que, si lo tienen, quizá va llegando la hora de que sus abogados reciban algún curso de actualización.

O que los desarrolladores de sus páginas web dejen de ir a su bola y consulten con Asesoría Jurídica si la nueva página web de atención a clientes cumple la normativa.

Lo digo porque no puedo acceder a las facturas correspondientes al punto de suministro o al teléfono móvil de meses anteriores.


Hay que recordar que el artículo 2-1-b de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información indica:


b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

El artículo 2 completo:

Artículo 2. Obligación de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica.

  1. Sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio seguro de interlocución telemática que les permita la realización de, al menos, los siguientes trámites:

a) Contratación electrónica de servicios, suministros y bienes, la modificación y finalización o rescisión de los correspondientes contratos, así como cualquier acto o negocio jurídico entre las partes, sin perjuicio de lo establecido en la normativa sectorial.

b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.

d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

  1. A los efectos de lo dispuesto en el apartado anterior, tendrán la consideración de empresas que presten servicios al público en general de especial trascendencia económica, las que agrupen a más de cien trabajadores o su volumen anual de operaciones, calculado conforme a lo establecido en la normativa del Impuesto sobre el Valor Añadido, exceda de 6.010.121,04 euros y que, en ambos casos, operen en los siguientes sectores económicos:

a) Servicios de comunicaciones electrónicas a consumidores, en los términos definidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

b) Servicios financieros destinados a consumidores, que incluirán los servicios bancarios, de crédito o de pago, los servicios de inversión, las operaciones de seguros privados, los planes de pensiones y la actividad de mediación de seguros. En particular, se entenderá por:

  1. Servicios bancarios, de crédito o de pago: las actividades relacionadas en el artículo 52 de la Ley 26/1988, de 29 de julio, sobre Disciplina e Intervención de las Entidades de Crédito.
  2. Servicios de inversión: los definidos como tales en la Ley 24/1988, de 28 de julio, del Mercado de Valores.
  3. Operaciones de seguros privados: las definidas en el artículo 3 del texto refundido de la Ley de ordenación y supervisión de los seguros privados, aprobado por Real Decreto Legislativo 6/2004, de 29 de octubre.
  4. Planes de pensiones: los definidos en el artículo 1 del texto refundido de la Ley de Regulación de los Planes y Fondos de Pensiones, aprobado por Real Decreto Legislativo 1/2002, de 29 de noviembre.
  5. Actividad de corredor de seguros: la definida en la Ley 26/2006, de 17 de julio, de mediación en seguros y reaseguros privados.

c) Servicios de suministro de agua a consumidores, definidos de acuerdo con la normativa específica.

d) Servicios de suministro de gas al por menor, de acuerdo con lo dispuesto en la Ley 34/1998, de 7 de octubre, del Sector de Hidrocarburos.

e) Servicios de suministro eléctrico a consumidores finales, de acuerdo con lo dispuesto en el título VIII de la Ley 54/1997, de 27 noviembre, del Sector Eléctrico.

f) Servicios de agencia de viajes, de acuerdo con lo dispuesto en el Real Decreto 271/1988, de 25 de marzo, por el que se regula el ejercicio de las actividades propias de las agencias de viajes.

g) Servicios de transporte de viajeros por carretera, ferrocarril, por vía marítima, o por vía aérea, de acuerdo con lo dispuesto en la normativa específica aplicable.

h) Actividades de comercio al por menor, en los términos fijados en el apartado 2 del artículo 1 de la Ley 7/1996, de 15 de enero, de ordenación del comercio minorista y en su normativa de desarrollo, a las que serán de aplicación únicamente los apartados c) y d) del apartado 1 del presente artículo.

  1. Excepcionalmente, el Gobierno o, en su caso, los órganos competentes de las Comunidades Autónomas podrán ampliar el ámbito de aplicación del apartado 1 del presente artículo a otras empresas diferentes de las previstas en la Ley, en aquellos casos en los que, por la naturaleza del servicio que presten, se considere que en el desarrollo de su actividad normal deban tener una interlocución telemática con sus clientes o usuarios.

En el plazo de un año desde la entrada en vigor de la obligación a que se refiere el apartado 1, el Gobierno analizará la aplicación del apartado 2 de este artículo a otras empresas con más de cien trabajadores o que tengan un volumen anual de operaciones, calculado conforme a lo establecido en la normativa del Impuesto sobre el Valor Añadido, superior a 6.010.212,04 euros, que en el desarrollo de su actividad normal, presten servicios en los que se considere que deban tener una interlocución telemática con sus clientes o usuarios.

Las Comunidades Autónomas con competencias exclusivas en las materias objeto de obligación de comunicación telemática podrán modificar el ámbito y la intensidad de aplicación del apartado 1 del presente artículo en aquellos casos en que precisamente debido al desarrollo sectorial de sus competencias lo consideren oportuno.

¿Cómo se firman las TSL?


Las TSL (Trust Service status List) son listas de servicios de confianza cualificados expedidas por los organismos emisores (Operadores del Esquema) de cada uno de los países miembro de la Unión Europea (en conexión con los Organismos Supervisores, y frecuentemente formando parte de ellos) y son necesarias para establecer las cadenas de confianza de los certificados cualificados (y otros servicios de confianza), en el contexto del Reglamento EIDAS. Son ficheros codificados en XML (lo que optimiza su tratamiento automatizado) aunque se generan versiones en PDF para facilitar su lectura por los seres humanos.

Su estructura se define en la norma ETSI TS 119 612.

La lista de servicios de confianza cualificados debe estar firmada digitalmente por el «Scheme operator name» (Denominación del Operador del Esquema) para garantizar su autenticidad e integridad.

El formato de la firma digital debe ser XAdES BES o EPES, tal como se define en la norma ETSI TS 101 903. El algoritmo de firma y la clave del certificado deben permitir su uso durante un mínimo de 3 años, tal como se especifica en la siguiente tabla de ETSI TS 119 312:

El certificado del TLSO (Trust List Scheme Operator, en español Operador del Esquema de la Lista de Confianza), debe firmar electrónicamente la lista y de la validez de esta firma electrónica depende la validez de la lista del país. Esto implica incluir el certificado del firmante en la firma.

Para ello se debe utilizar el elemento de XML ds:KeyInfo, que solo deberá contener el certificado del Operador del Esquema y no deberá contener ningún otro certificado que forme ningún tipo de cadena de certificados asociada.

El certificado del Operador del Esquema deberá ajustarse a las siguientes restricciones:

  • El emisor del certificado podrá ser el propio TLSO (en este caso se trataría de un certificado autofirmado) o un servicio de confianza TSP (Trust Service Provider) que figure en la TL (Trusted List) o en una de las TL que forma parte de la misma comunidad (opción descrita en el apartado 5.3.9 de la norma ETSI TS 119 612 citada).
  • Los campos «Country code» (código de país) y «Organization» (organización) del Subject Distinguished Name (nombre distinguido del sujeto) deberán coincidir, respectivamente, con el «Scheme Territory» y uno de los valores de «Scheme operator name». Para este último, el valor en inglés del Reino Unido (preferido) o en el idioma local (transliterado a escritura latina), según esté disponible.

En el caso de la actual lista TSL de España el certificado es el siguiente:

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

Al decodificarlo, el resultado es este:

Cabe indicar que el certificado no es el correcto, especialmente si se tiene en cuenta que es el certificado del organismo designado para supervisar el sector de los servicios de confianza.

La indicada, es la denominación del organismo supervisor en la legislatura anterior.

En efecto, el Real Decreto 2/2020, de 12 de enero, por el que se reestructuran los departamentos ministeriales, establece en su artículo 16

Artículo 16. Ministerio de Asuntos Económicos y Transformación Digital.

1. Corresponde al Ministerio de Asuntos Económicos y Transformación Digital la propuesta y ejecución de la política del Gobierno en materia económica y de reformas para la mejora de la competitividad, las telecomunicaciones y la sociedad de la información.

2. Asimismo corresponde a este Ministerio la propuesta y ejecución de la política del Gobierno para la transformación digital y el desarrollo y fomento de la inteligencia artificial.

3. Este Ministerio se estructura en los siguientes órganos superiores:

a) La Secretaría de Estado de Economía y Apoyo a la Empresa.

b) La Secretaría de Estado de Digitalización e Inteligencia Artificial.

c) La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

Posteriormente el Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital desarrolla en su Artículo 8 la composición de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

c) La Subdirección General para la Sociedad Digital, a la que corresponden las funciones a las que se refieren los párrafos m), n), ñ), o) y p) del apartado 1.

Es decir:

m) La supervisión, impulso y coordinación de iniciativas para la garantía del derecho a la confianza y seguridad digital, y en especial a la protección de los menores y colectivos vulnerables, así como la regulación en materia de ciberseguridad de los servicios digitales, en colaboración con otros órganos u organismos con competencias en la materia, así como con los sectores económicos y sociales públicos y privados afectados.

n) La elaboración y propuesta de normativa en materia de servicios digitales y sus prestadores, en particular sobre identificación electrónica y servicios electrónicos de confianza, comercio electrónico y nombres de dominio de Internet.

ñ) La elaboración de normativa, en colaboración con otros departamentos, referente a la regulación de las plataformas digitales, entre otras, la relativa a la privacidad y protección de la información, así como a la garantía de equidad y respeto a los derechos digitales de usuarios y empresas.

o) El ejercicio de las facultades de supervisión, control, inspección y sanción en materia de la sociedad digital, de conformidad con la legislación aplicable, incluyendo la gestión de la lista de prestadores de servicios de confianza cualificados

p) La participación en comisiones, grupos de trabajo y otros foros de carácter internacional o nacional, tanto públicos como privados, en materia de sociedad digital, así como el seguimiento y participación en iniciativas y foros relacionados con la Gobernanza de Internet.

Esa norma se publicó en el «BOE» núm. 50, de 27 de febrero de 2020. Por tanto el certificado debería haberse actualizado al día siguiente. Un certificado autofirmado se realiza en 10 minutos, especialmente si se cuenta con el fichero de configuración de Open-SSL de la emisión anterior. Pon 10 días entre que se piensa y se planifica. Y algo más para comunicar a los administradores de la EUTL.

Es decir han transcurrido 975 días (31 meses) y el organismo que supervisa a los emisores de certificados no ha sido capaz de crear un certificado adecuado en el que el firmante sea quien dice ser.

Spain: Verifiable invoices to be developed following changes to article 29.2.j) of the General Tax Law.


By means of Law 11/2021, of July 9, 21, known in abbreviated form as «of measures for the prevention and fight against tax fraud», a new letter j) is added to Article 29. 2 of the General Tax Law (LGT) a new letter j), which establishes the obligation, for producers, traders and users, that the computer or electronic systems and programs that support the accounting, invoicing or management processes of those who carry out economic activities, guarantee the integrity, conservation, accessibility, legibility, traceability and inalterability (ICALTI) of the records, without interpolations, omissions or alterations of which there is no due notation in the systems themselves.

Furthermore, in accordance with aforementioned regulation, a specific sanctioning regime is established in article 201 bis of the Law 11/2021, derived from the mere production of these systems or programs, or the ownership of that kind of systems without the appropriate certification.

The purpose of this precept is multiple. In addition to preventing the production and possession of computer programs and systems that allow the manipulation of accounting and management data, as considered in the explanatory memorandum of Law 11/2021, others of a very different nature are associated with it, such as, for example, giving a notable boost to the modernization and digitalization of the Spanish business environment and, especially SMEs, micro-enterprises and the self-employed, while promoting tax compliance and the fight against fraud and, at the same time, ensuring a simple, cheap, secure and efficient connection between citizens and the Administration in digitalized environments.

Different countries have adopted similar solutions. These initiatives are in line with the recommendations made by international institutions such as the OECD. Thus, strict regulations and techniques have been implemented, which have been evolving in parallel with technological progress for almost forty years, seeking different objectives and control and security measures with the main purpose of making fraud more difficult through the use of computerized means that hide or forge information on invoices issued and facilitate the verification of data that, due to their digital nature, are volatile and easily manipulated in ways that are very difficult to detect.

The new Article 29.2.j) of the General Tax Law provides that future regulations may define technical specifications to be met by these computer systems, as well as the need for them to be duly certified by external auditors and the use of standard formats for their readability. In this sense, a draft Royal Decree has been published , which the requirements to be adopted by the computer or electronic systems and programs that support the invoicing processes of businessmen and professionals, and the standardization of formats of the invoicing records.

In general terms, the draft Regulation leaves taxpayers, developers and marketers freedom to implement the computerized invoicing systems, provided that they comply with a series of requirements that guarantee the principles of integrity, conservation, accessibility, legibility, traceability and inalterability (ICALTI) and established by the GTL and the Regulation itself, and which must be developed by ministerial order. This compliance is guaranteed by means of a responsible statement that the computer system complies with the provisions of the GTL, the Regulation and the development specifications. On the other hand, taxpayers who meet the requirements established by ministerial order may also use, where appropriate, a free computer application developed by the Tax Administration.

It should be noted that, in other countries, in order to avoid the existence of what is known as dual-use software, the use of certain software or hardware elements imposed or certified by the tax authority or by third parties or the obligation in certain cases of issuing electronic invoicing, with automatic delivery of copies of invoices to the Tax Administration, is made compulsory.

The published draft Regulation establishes that for each invoice a registration -and, if applicable, cancellation- record must be automatically generated in the computer system, containing some of the data of the invoice to which it refers, in accordance with the Regulation addressing invoicing obligations, approved by Royal Decree 1619/2012. Elements that guarantee that the principles set forth in the GTL are complied with must also be incorporated into the record, such as the fingerprint or «hash» of the previous record and the time at which the invoicing record is generated. The record must also be electronically signed.

The Regulation foresees that taxpayers may voluntarily send to the Tax Agency by electronic means all the invoicing records generated by such systems. The computer systems that send the invoicing records are considered -in the draft Regulation- as «verifiable invoice issuing systems» or «VERIFACTU systems». These VERIFACTU systems have specific characteristics that determine, by their very existence, that they meet by definition the requirements of integrity, unalterability, traceability, accessibility, legibility and conservation (ICALTI). Invoicing records will not need to be signed electronically either.

Said draft Royal Decree also establishes a modification of the Invoicing Regulation, by incorporating in its wording that invoices, whether simplified or not, issued by the computerized invoicing systems referred to in the Regulation, must include a graphic representation of certain data of the invoice, by means of a «QR» code. The incorporation of the «QR» code in the invoice is intended to facilitate the possibility that the invoice recipient can voluntarily provide, using an appropriate device capable of reading the code and transmitting and receiving data, certain information to the Tax Agency, by capturing the «QR» code with the device.

In short, the approval and application of the Regulation will allow, by means of these computer or electronic systems and programs that support the invoicing processes of businessmen and professionals, in the medium term, a significant saving in tax compliance costs; at the same time that the corporate responsibility of the producers, manufacturers and developers of these systems and programs that issue the declarations of responsibility is reinforced.

Aportación del Parlamento español al proceso legislativo europeo conducente a la modificación del Reglamento UE nº 910/2014 (EIDAS)


El Parlamento español remitió al Parlamento europeo en octubre de 2021 su primer informe respecto al proceso legislativo relativo a la propuesta de Reglamento siguiente: «Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity»

Este es el documento remitido (en PDF).

Y aquí la transcripción del infome:

INFORME 28/2021 DE LA COMISIÓN MIXTA PARA LA UNIÓN EUROPEA, DE 23 DE SEPTIEMBRE DE 2021, SOBRE LA APLICACIÓN DEL PRINCIPIO DE SUBSIDIARIEDAD POR LA PROPUESTA DE REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO POR EL QUE SE MODIFICA EL REGLAMENTO (UE) N.o 910/2014 EN LO QUE RESPECTA AL ESTABLECIMIENTO DE UN MARCO PARA UNA IDENTIDAD DIGITAL EUROPEA [COM (2021) 281 FINAL] [COM (2021) 281 FINAL ANEXO] [2021/0136 (COD)] {SEC (2021) 228 FINAL} {SWD (2021) 124 FINAL}{SWD (2021) 125 FINAL}

ANTECEDENTES

A. El Protocolo sobre la aplicación de los principios de subsidiariedad y proporcionalidad, anejo al Tratado de Lisboa de 2007, en vigor desde el 1 de diciembre de 2009, ha establecido un procedimiento de control por los Parlamentos nacionales del cumplimiento del principio de subsidiariedad por las iniciativas legislativas europeas. Dicho Protocolo ha sido desarrollado en España por la Ley 24/2009, de 22 de diciembre, de modificación de la Ley 8/1994, de 19 de mayo. En particular, los nuevos artículos 3 j), 5 y 6 de la Ley 8/1994 constituyen el fundamento jurídico de este informe.

B. La Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.0 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, ha sido aprobada por la Comisión Europea y remitida a los Parlamentos nacionales, los cuales disponen de un plazo de ocho semanas para verificar el control de subsidiariedad de la iniciativa, plazo que concluye el 4 de octubre de 2021.

C. La Mesa y los Portavoces de la Comisión Mixta para la Unión Europea, el 14 de septiembre de 2021, adoptaron el acuerdo de proceder a realizar el examen de la iniciativa legislativa europea indicada, designando como ponente al Diputado D. José María Sánchez García (GVOX), y solicitando al Gobierno el informe previsto en el artículo 3 j) de la Ley 8/1994.

D. Se ha recibido informe del Gobierno en el que se manifiesta la conformidad de la iniciativa con el principio de subsidiariedad. Asimismo, se han recibido informes del Parlamento Vasco y del Parlamento de Cantabria comunicando el archivo de expediente o la no emisión de dictamen motivado.

E. La Comisión Mixta para la Unión Europea, en su sesión celebrada el 23 de septiembre de 2021, aprobó el presente

INFORME

1.- El artículo 5.1 del Tratado de la Unión Europea señala que «el ejercicio de las competencias de la Unión se rige por los principios de subsidiariedad y proporcionalidad’. De acuerdo con el artículo 5.3 del mismo Tratado, «en virtud del principio de subsidiariedad la Unión intervendrá sólo en caso de que, y en la medida en que, los objetivos de la acción pretendida no puedan ser alcanzados de manera suficiente por los Estados miembros, ni a nivel central ni a nivel regional y local, sino que puedan alcanzarse mejor, debido a la dimensión o a los efectos de la acción pretendida, a escala de la Unión«.

2.- La Propuesta legislativa analizada se basa en el artículo 114 del Tratado de Funcionamiento de la Unión Europea, que establece lo siguiente:

«Artículo 114

1. Salvo que los Tratados dispongan otra cosa, se aplicarán las disposiciones siguientes para la consecución de los objetivos enunciados en el artículo 26. El Parlamento Europeo y el Consejo, con arreglo al procedimiento legislativo ordinario y previa consulta al Comité Económico y Social, adoptarán las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior.
( ….
)
10. Las medidas de armonización anteriormente mencionadas incluirán, en los casos apropiados, una cláusula de salvaguardia que autorice a los Estados miembros a adoptar, por uno o varios de los motivos no económicos indicados en el artículo 36, medidas provisionales sometidas a un procedimiento de control de la Unión.»

3.- La Propuesta de Reglamento sobre la que se informa lo es de modificación del Reglamento (UE) n.0 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Luego la materia es relativa al mercado interior por lo que dicha materia es de competencia compartida entre la Unión y los Estados miembros (art.4.2.a) del Tratado de Funcionamiento de la Unión Europea.

Por consiguiente, debe ser examinada la conformidad de la Propuesta de Reglamento analizada con el principio de subsidiariedad.

La Propuesta de Reglamento sobre la que se informa se ordena a la armonización en la prestación de servicios de confianza, así como de la seguridad, tanto para los ciudadanos que utilicen una identidad digital europea con fines de representación en línea como para los proveedores de servicios en línea, de modo tal que puedan confiar plenamente en las soluciones de identidad digital y aceptarlas con independencia de dónde se hayan expedido.

Dicha armonización o aproximación de legislaciones (de los Estados miembros) – tal y como la denomina el capítulo 3 del Título VII del Tratado de Funcionamiento de la Unión Europea- es de suyo subsidiaria toda vez que es difícil concebir la armonización general de todas las legislaciones nacionales de los Estados miembros por otro sujeto que no sea la propia Unión Europea, si nos atenemos al concepto de subsidiariedad ex artículo 5.3 del Tratado citado, con la salvedad de que el contenido objetivo de la Propuesta de Reglamento analizada no fuese propiamente armonizador. No parece verificarse esta hipótesis de excepción.

Cumple censurar, no obstante y por último, el tenor hermético y de perfiles cuasi esotéricos de la exposición de motivos recibida, que precede a la Propuesta de Reglamento, cuando se afirma en ella lo siguiente: «ofrece un instrumento adecuado para establecer la estructura de interoperabilidad necesaria para la creación de un ecosistema de identidad digital a escala de la UE basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados«.

Además, incurre dicho texto en una petición de principio al justificar la proporcionalidad, sabido que la Propuesta de Reglamento es armonizadora, así: «Supone una contribución clara al objetivo de mejorar el mercado único digital a través de un marco jurídico más armonizado«.

CONCLUSIÓN

Por los motivos expuestos, la Comisión Mixta para la Unión Europea entiende que la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.• 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, es conforme al principio de subsidiariedad establecido en el vigente Tratado de la Unión Europea.

¿Debe constar el número de DNI en los certificados cualificados expedidos en España?


La Ley 6/2020 recoge en su Artículo 6 (sobre «Identidad y atributos de los titulares de certificados cualificados.»

  1. La identidad del titular en los certificados cualificados se consignará de la siguiente forma:
  • En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.
  • En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.
  1. Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada en las formas previstas en el apartado anterior, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.

Sin embargo, el Reglamento europeo EIDAS, establece en el Artículo 4 (sobre el «Principio del mercado interior»

  1. No se impondrá restricción alguna a la prestación de servicios de confianza en el territorio de un Estado miembro por un prestador de servicios de confianza establecido en otro Estado miembro por razones que entren en los ámbitos cubiertos por el presente Reglamento.
  2. Se permitirá la libre circulación en el mercado interior de los productos y servicios de confianza que se ajusten al presente Reglamento.

Por tanto, la normativa española estaría imponiendo una restricción a la prestación de servicios de confianza que excede a lo que prevé el Reglamento Europeo y restringiendo opciones a los prestadores de servicios de confianza españoles. Lo cual está expresamente prohibido por el Reglamento UE nº 910/2014, que, por cierto, es una norma de rango superior a la Ley 6/2020 española.

Prueba de que la intención del legislador europeo es la de definir diferentes mecanismos de numeración es que el Anexo I (sobre «REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE FIRMA ELECTRÓNICA») indica:

Los certificados cualificados de firma electrónica contendrán:

a) una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de firma electrónica;

b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y

— para personas jurídicas: el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,

para personas físicas, el nombre de la persona;

c) al menos el nombre del firmante o un seudónimo; si se usara un seudónimo, se indicará claramente;

d) datos de validación de la firma electrónica que correspondan a los datos de creación de la firma electrónica;

e) los datos relativos al inicio y final del período de validez del certificado;

f) el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;

g) la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra g);

i) la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;

j) cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.

Es decir, es el Prestador el que define la forma de codificar el código de identidad del certificado.

En el mismo sentido se establece el principio recogido en el considerando 54:

La interoperabilidad y el reconocimiento transfronterizos de los certificados cualificados es un requisito previo para el reconocimiento transfronterizo de las firmas electrónicas cualificadas. Por consiguiente, los certificados cualificados no deben estar sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el presente Reglamento. No obstante, en el plano nacional debe permitirse la inclusión de atributos específicos, por ejemplo identificadores únicos, en los certificados cualificados, a condición de que tales atributos específicos no comprometan la interoperabilidad y el reconocimiento transfronterizos de los certificados y las firmas electrónicas cualificados.

Y, en el plano técnico, la interoperabilidad se resuelve haciendo uso del estándar europeo destinado para ello, la norma ETSI EN 319 412-1 Y en esta norma se ve (apartado «5.1.3 Natural person semantics identifier») que son varias las posibilidades de codificar números de identidad, que no se limitan a recoger el número de DNI:

The semantics of id-etsi-qcs-SemanticsId-Natural shall be as follows.

When the natural person semantics identifier is included, any present serialNumber attribute in the subject field shall contain information using the following structure in the presented order:

  • 3 character natural person identity type reference;
  • 2 character ISO 3166-1 [2] country code;
  • hyphen-minus «-» (0x2D (ASCII), U+002D (UTF-8)); and
  • identifier (according to country and identity type reference).

The three initial characters shall have one of the following defined values:

  1. «PAS» for identification based on passport number.
  2. «IDC» for identification based on national identity card number.
  3. «PNO» for identification based on (national) personal number (national civic registration number).
  4. «TAX» for identification based on a personal tax reference number issued by a national tax authority. Thisvalue is deprecated. The value «TIN» should be used instead.
  5. «TIN» Tax Identification Number according to the European Commission – Tax and Customs Union (https://ec.europa.eu/taxation_customs/tin/tinByCountry.html).
  6. Two characters according to local definition within the specified country and name registration authority, identifying a national scheme that is considered appropriate for national and European level, followed by the character «:» (colon).

Other initial character sequences are reserved for future amendments of the present document.

EXAMPLES: "PASSK-P3000180", "IDCBE-590082394654" and "EI:SE-200007292386".

When a locally defined identity type reference is provided (two characters followed by «:»), the nameRegistrationAuthorities element of SemanticsInformation (IETF RFC 3739) shall be present and shall contain at least a uniformResourceIdentifier generalName. The two letter identity type reference preceding the «:» character shall be unique within the context of the specified uniformResourceIdentifier.

Por tanto, dada la posibilidad de hacer constar otros números de identificación de la persona física a criterio del Prestador de Servicios de Certificación y la limitación impuesta a los estados miembro que les prohíbe legislar en lo que ya legisla el Reglamento EIDAS, no sería obligatorio hacer constar el número de DNI.

Disonancias entre el esquema de evaluación de conformidad del Reglamento EIDAS y los esquemas nacionales de evaluación derivados de la Directiva NIS2 y otras normas


Sería deseable que la legislación que se está completando (entre la que se incluye la propuesta de modificación de Reglamento EIDAS, conocida como EIDAS2) definiera mejor la relación entre el sistema europeo de evaluación de la conformidad del eIDAS y los 27 sistemas nacionales diferentes de evaluación de la conformidad derivados de la transposición de la Directiva de Ciberseguridad NIS2.

Y que los reguladores fueran conscientes de las interrelaciones entre normativas publicadas a nivel europeo y evitaran conflictos de interpretación de las normas o requisitos redundantes por ser ligeramente diferentes entre normas.

Así se evitarían duplicidades y se aprovecharía el sistema paneuropeo de evaluación de la conformidad del eIDAS ya existente, que se ha establecido para evitar que los problemas de ciberseguridad (a primera vista) se conviertan en un obstáculo insuperable para un mercado único europeo de servicios de confianza cualificados.

Sin una definición clara, no será fácil coordinar técnicamente las normas y los sistemas de acreditación de eIDAS y NIS2, lo que repercutirá negativamente en varios aspectos técnicos y en el desarrollo del mercado de la seguridad y su certificación.

Entre las cuestiones de coordinación pendientes de abordar, que afectan a varias normativas europeas en desarrollo, figuran las siguientes:

  1. Necesidad de coordinación entre los requisitos de seguridad de NIS2 y eIDAS 2.0. Los conflictos pueden evitarse fácilmente, ya que la estructura de las políticas de seguridad de ambas normas es similar y comparte las mismas fuentes (la normativa ISO 27000).
  2. Necesidad de coordinaciónentre los eIDS nacionales de la Parte II del eIDAS y los eIDS europeos de la Parte III del eIDAS, sometidos (también) a un sistema nacional de evaluación de la conformidad.
  3. Necesidad de definición técnica y de coordinación técnica entre los Servicios de Identificación definidos en el art. 2.1.(15) de la Propuesta de Reglamento «Ley de Servicios Digitales» (COM 2020/842) y los de la Propuesta de Reglamento eIDAS 2.0 (COM 2021/281) en sus art. 6a(3), 6a(4), 6a(5), y otos,
  4. Necesidad de definición técnica y de coordinación entre los servicios de la plataforma central definidos en los arts. 1 y 2 del Reglamento «Ley de Mercados Digitales» (COM 2020/842), y los QTS de eIDAS.
  5. Conveniencia de utilizar una base normativa de estandarización internacional común para la evaluación de la conformidad, destinada específicamente a la certificación de productos, procesos y servicios, en particular la norma ya existente ISO 17065.

El CSV (Código Seguro de Verificación) en la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia


El Artículo 26 de la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia define las caractrísticas de los Sistemas de Código Seguro de Verificación empleados en el ámbito de la Administración de Justicia.

Establece:

  1. Las Administraciones con competencia en materia de Justicia podrán gestionar sistemas de Código Seguro de Verificación que, cuando figuren en un documento electrónico o en su versión impresa, permitan el cotejo de la autenticidad e integridad del documento. El cotejo de los documentos con Código Seguro de Verificación se realizará en la sede judicial electrónica correspondiente al órgano que emitió el documento, así como en la Carpeta Justicia.
  2. La inclusión de Códigos Seguros de Verificación en los documentos se acompañará de la dirección electrónica en la que poder realizar el cotejo.
  3. Los Códigos Seguros de Verificación se codificarán de conformidad con los términos que se definan en el marco del Comité Técnico Estatal de la Administración Judicial Electrónica.
  4. Se podrán establecer requisitos restrictivos de identificación o similares sobre algunos documentos, para evitar que sean accesibles únicamente por su Código Seguro de Verificación, cuando existan razones de protección de la información.
  5. Se podrán habilitar mecanismos que ofrezcan el documento en una versión anonimizada. Los documentos electrónicos podrán contener medidas de seguridad tales como marcas de agua, sistemas anti-copia o versiones personalizadas de documentos que permitan detectar la persona concreta que hubiera difundido un documento de forma no autorizada.

Con estas previsiones, el Código Seguro de Verificación podría corresponder a una copia concreta destinada a una persona concreta por lo que en contextos en los que se prohiba la difusión de un documento dotado de CSV, quedará expuesta la identidad de quien lo haya filtrado, lo que puede acarrear sanciones e, incluso tener la consideración de delito.

El Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) ya ha definido la codificación de CSV en el documento PROPUESTA DE ESTANDARIZACIÓN DEL INTERFAZ DE ACCESO AL SERVICIO DE CSV DE LAS SEDES y ha creado el concepto de Código Seguro de Verificación (CSV) enrutable del que ya nos hemos hecho eco en este Blog.

De esta manera, si en un momento futuro cambia la dirección electrónica en la que poder realizar el cotejo, todavía se podrá realizar dicho cotejo desde otras direcciones de comprobación en el ámbito de la Administración de Justicia,

Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»


Se ha publicado un Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) no 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Ponente: Tymoteusz Adam ZYCH
Consulta Parlamento Europeo, 8.7.2021
Consejo, 15.7.2021
Fundamento jurídico Artículo 114 del Tratado de Funcionamiento de la Unión Europea.
Sección competente Mercado Único, Producción y Consumo
Aprobado en sección 30.9.2021
Aprobado en el pleno 20.10.2021
Pleno nº 564
Resultado de la votación: 229 a favor / 2 en contra / 5 abstenciones

  1. Conclusiones y recomendaciones

    1.1. El Comité Económico y Social Europeo (CESE) acoge con satisfacción la propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad
    digital europea
    , propuesta que adaptaría dicho acto jurídico a las necesidades actuales del mercado. La evaluación del Reglamento vigente ha puesto de manifiesto la necesidad de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso tanto al sector privado como al público y que estén disponibles para la gran mayoría de ciudadanos y residentes europeos.

    1.2. Sin embargo, el CESE observa que la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y
    personas con discapacidad
    . Por consiguiente, el CESE pide a la Comisión Europea y a los Estados miembros que establezcan el marco necesario para la campaña de educación e información digitales, que debería servir al mismo tiempo para aumentar la sensibilización en el ámbito de la protección de los datos personales.

    1.3. El CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser discrecional y gratuito. No obstante, la introducción de nuevas soluciones digitales implica necesariamente un tiempo y un gasto considerables. Por ello, el CESE pide a la Comisión Europea que profundice en la evaluación del tiempo necesario para la aplicación real del nuevo Reglamento a fin de no afectar negativamente al mercado y que proporcione un análisis más detallado y una mayor claridad en el Reglamento respecto a los costes previstos de su aplicación.

    1.4. El CESE observa que la sección 9 del Reglamento propuesto prevé el reconocimiento transfronterizo obligatorio de las declaraciones electrónicas de atributos cualificadas emitidas en un Estado miembro. Sin embargo, teniendo en cuenta que las disposiciones del Derecho interno varían a menudo considerablemente entre los Estados miembros, el CESE reconoce la necesidad de aclarar que el reconocimiento de una declaración electrónica de atributos cualificada en un Estado miembro se limita a la confirmación de los hechos, de manera análoga a lo establecido en el apartado 4 del artículo 2 del Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea (Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 200 de 26.7.2016, p. 1) ): «El presente Reglamento no se aplica al reconocimiento en un Estado miembro de los efectos jurídicos relativos al contenido de los documentos públicos expedidos por las autoridades de otro Estado miembro».

    1.5. Desde el punto de vista del CESE, la protección efectiva de los datos debe examinarse especialmente en el contexto de la protección de los derechos fundamentales, en particular el derecho a la intimidad y el derecho a la protección de los datos personales. El CESE respalda por ello plenamente el requisito de que el marco para una identidad digital europea proporcione a los usuarios los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente. El CESE invita a la Comisión y a los Estados miembros a que incluyan en las consultas sobre los aspectos técnicos del marco para una identidad digital europea la creación de un registro que permita a los usuarios rastrear cualquier acceso a sus datos.

    1.6. El CESE desea destacar las preocupaciones en materia de seguridad relacionadas con el proceso de digitalización, en particular las referidas al desarrollo de los enormes sistemas que almacenan y procesan datos vulnerables al fraude y la pérdida. El CESE también es consciente de que actualmente no existe ningún sistema de seguridad capaz de ofrecer una protección completa de los datos. Así pues, el CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos (por ejemplo, el robo o la divulgación de estos). Esta garantía debe ser independiente de que exista o no culpa del proveedor.
  2. Introducción

    2.1. El objeto del presente Dictamen es la propuesta de Reglamento de la CE por el que se modifica el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73) ) («Reglamento eIDAS») en lo que respecta al establecimiento de un marco para una identidad digital europea.

    2.2. Como se señala en la exposición de motivos, el Reglamento eIDAS proporcionaría las siguientes protecciones y beneficios: 1) acceso a soluciones de identidad electrónica altamente seguras y fiables; 2) la garantía de que los servicios públicos y privados puedan apoyarse en soluciones de identidad digital fiables y seguras; 3) la garantía de que las personas físicas y jurídicas puedan utilizar soluciones de identidad digital; 4) la seguridad de que dichas soluciones presenten un conjunto de atributos y permitan el intercambio selectivo de datos de identidad, y de que dichos datos se limiten a las necesidades del servicio específico solicitado; y 5) la garantía de la aceptación de los servicios de confianza en la Unión Europea y de la igualdad de condiciones para su prestación. Las modificaciones propuestas responden al aumento de la demanda de soluciones digitales transfronterizas fiables que satisfagan la necesidad de identificar y autenticar a los usuarios con un elevado nivel de garantía.
  1. Observaciones generales

    3.1. El CESE es consciente de las nuevas demandas del mercado interior en cuanto al desarrollo de servicios electrónicos de identificación y confianza para las transacciones electrónicas transfronterizas. Las soluciones existentes previstas en el Reglamento eIDAS, que empezaron a surtir efectos jurídicos en varias fases a partir de julio de 2016, no satisfacen dichas demandas, lo que se confirma por el hecho de que, en este momento, solo el 59 % de los residentes en la UE tengan acceso a soluciones seguras y fiables de identidad electrónica. Además, el acceso transfronterizo a estos servicios resulta limitado por la falta de interoperabilidad entre los sistemas que ofrecen los distintos Estados miembros.

    3.2. Por ello, el CESE acoge con satisfacción la nueva propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad digital europea, propuesta que
    adaptaría dicho acto jurídico a las necesidades actuales del mercado. Se calcula que las soluciones propuestas en el documento de la Comisión podrían contribuir a aumentar el número de usuarios de la identidad digital hasta el 80 % o incluso el 100 % de todos los ciudadanos y residentes de la UE.

    3.3. El CESE acoge con especial satisfacción las soluciones destinadas a aumentar la seguridad de los datos personales de los usuarios garantizando la discrecionalidad de compartir o no dichos datos y la posibilidad de controlar la naturaleza y la cantidad de datos facilitados a las partes usuarias. Según la propuesta, los Estados miembros mantendrán el control sobre los proveedores de servicios digitales, por lo que garantizarían que los conjuntos de datos sensibles (por ejemplo, relacionados con la salud, la religión y las creencias, las opiniones políticas o el origen racial o étnico) solo sean facilitados por los proveedores de servicios, cuando se les solicite, tras una decisión informada adoptada por el titular de la identidad de conformidad con la legislación nacional aplicable.

    3.4. El CESE señala que el calendario para la aplicación de determinadas disposiciones del nuevo Reglamento es bastante optimista e invita a la Comisión Europea a que, al establecer los plazos de aplicación definitivos, también tenga en cuenta el tiempo necesario para que los proveedores de servicios mejoren sus sistemas informáticos para cumplir las nuevas obligaciones. Por consiguiente, el CESE pide a la Comisión que analice en más profundidad el tiempo necesario para la aplicación real del nuevo Reglamento y, en consecuencia, amplíe el plazo de aplicación a fin de no afectar al mercado pertinente. Por ejemplo, la entrada en vigor del Reglamento obligará a que los actuales proveedores cualificados de servicios de confianza que ofrezcan la posibilidad de firma a distancia basada en dispositivos cualificados de creación de firmas electrónicas se conviertan en proveedores cualificados para ese servicio específico; estos proveedores necesitarán tiempo tanto para poner en práctica los aspectos técnicos como para completar el procedimiento de autorización.

    3.5. El CESE señala que, independientemente de sus beneficios, la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y personas con discapacidad. El CESE reconoce el papel esencial de la educación de la ciudadanía europea para combatir dicha exclusión; al mismo tiempo, dicha educación debe servir para aumentar la sensibilización en el ámbito de la protección de los datos personales.
  1. Disponibilidad de un marco para una identidad digital europea y discrecionalidad de su uso

    4.1. El CESE acoge favorablemente la idea de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso no solo a los servicios públicos, sino también al sector privado. Por otra parte, el CESE está de acuerdo con los intentos de la Comisión Europea de poner un marco para una identidad digital europea a disposición de la inmensa mayoría de los ciudadanos europeos. Debido a los obstáculos que existen para el acceso transfronterizo a los servicios de identidad electrónica (por ejemplo, la falta de interoperabilidad entre los sistemas de identidad electrónica desarrollados por los Estados miembros), muchos residentes de la UE no los utilizan en absoluto. Las nuevas soluciones basadas en las carteras de identidad digital europea pueden contribuir a que al menos el 80 % de los europeos dispongan de servicios en línea fiables.

    4.2. Por tanto, el CESE respalda la propuesta de requerir que los Estados miembros emitan una cartera de identidad europea, un instrumento que permitiría a los usuarios: 1) solicitar y obtener, almacenar, seleccionar, combinar y compartir de forma segura, transparente y rastreable por el usuario, los datos de identificación de persona jurídica y la declaración electrónica de atributos que sean necesarios para autenticarse en línea y fuera de línea con el fin de acceder a servicios públicos y privados en línea; y 2) firmar por medio de firmas electrónicas cualificadas.

    4.3. Además, el CESE acoge favorablemente la propuesta de garantizar que la cartera de identidad digital europea sea igualmente accesible para las personas con discapacidad de conformidad con las disposiciones del anexo I de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70) ), en consonancia con el principio de no discriminación de la UE establecido en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea. Con el fin de evitar la exclusión digital en ese ámbito, el CESE propone que todas las soluciones se desarrollen en cooperación con las instituciones competentes y las ONG para personas con discapacidad, aplicando un enfoque basado en la participación de múltiples partes interesadas.

    4.4. Desde el punto de vista del CESE, el hecho de que el uso de una cartera de identidad digital europea sea discrecional para los ciudadanos y residentes también es un aspecto positivo. El CESE considera que los usuarios no deberían estar obligados a utilizar dicha cartera para acceder a servicios privados o públicos, sino simplemente tener la posibilidad de hacerlo.

    4.5. Desde el punto de vista de la asequibilidad, el CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser gratuito para los usuarios. No obstante, el CESE pide a la Comisión Europea que analice y aclare más detalladamente en el Reglamento los siguientes aspectos: i) el coste de emisión para las personas físicas, ii) los costes (de emisión y uso) para las entidades jurídicas y iii) los costes de añadir atributos de identidad digital a dicha cartera, ya que el CESE considera que cada una de estas adiciones representaría un servicio de confianza, por lo que conllevaría costes para el propietario de la cartera.
  2. Aspectos relativos a la facilidad de uso de un marco para una identidad digital europea

    5.1. El CESE acoge con satisfacción la iniciativa de la Comisión Europea de mejorar la facilidad de uso de los medios de identificación electrónica mediante la creación de un marco común para una identidad digital europea basado en la confianza transfronteriza en las carteras de identidad digital europea.

    5.2. Según la propuesta, la facilidad de uso puede mejorarse con los medios previstos en el nuevo artículo 12 ter del Reglamento eIDAS. Dicho artículo contiene una serie de requisitos relativos al reconocimiento de las carteras de identidad digital europea, dirigidos no solo a los Estados miembros sino también a las partes usuarias privadas prestadoras de servicios y a las «plataformas en línea de muy gran tamaño», definidas en el artículo 25, apartado 1, de la Ley de Servicios Digitales propuesta (Propuesta de Reglamento relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE – COM (2020) 825 final). Sobre la base de estas nuevas disposiciones, algunos sectores privados (transporte, energía, servicios bancarios y financieros, seguridad social, salud, agua potable, servicios postales, infraestructuras digitales, educación y telecomunicaciones) deberán aceptar el uso de carteras de identidad digital europea para la prestación de servicios en los casos en que la legislación nacional o de la UE o las obligaciones contractuales exijan una autenticación reforzada del usuario para la identificación en línea. Según la propuesta de la Comisión, este mismo requisito se aplicaría a las plataformas en línea de muy gran tamaño (por ejemplo, las redes sociales), las cuales deberían aceptar el uso de carteras de identidad digital europea en relación con los atributos mínimos necesarios para un servicio en línea determinado para el que se solicite autenticación, como la acreditación de la edad.

    5.3. El CESE señala que, para garantizar la disponibilidad generalizada y facilidad de uso de los medios de identificación electrónica, incluidas las carteras de identidad digital europea, los proveedores privados de servicios en línea (que no sean considerados «plataformas de muy gran tamaño») deberían participar en el desarrollo de «códigos de conducta» de autorregulación que faciliten una amplia aceptación de los medios de identificación electrónica. La Comisión Europea debe ser la encargada de evaluar la eficacia y facilidad de uso de dichas disposiciones para los usuarios de carteras de identidad digital europea.
  1. Cuestiones relativas a los efectos jurídicos de las carteras de identidad digital europea

    6.1. El CESE respalda la propuesta en lo que se refiere a la mejora del acceso a los servicios públicos digitales, en particular en situaciones transfronterizas.

    6.2. La nueva sección 9 propuesta del Reglamento eIDAS establece que una declaración electrónica de atributos cualificada emitida en un Estado miembro debe reconocerse como declaración electrónica de atributos cualificada en cualquier otro Estado miembro.

    6.3. Sin embargo, por lo que se refiere al Derecho interno de los Estados miembros, que en algunos casos puede diferir significativamente de un Estado a otro, el CESE señala que los atributos cotejados con fuentes auténticas en un Estado miembro deben limitarse únicamente a la confirmación de circunstancias de hecho y no deben producir efectos jurídicos en otros Estados miembros, a menos que los atributos en cuestión se ajusten a su legislación nacional. En esencia, las soluciones jurídicas propuestas no deben afectar al reconocimiento en un Estado miembro de efectos jurídicos relacionados con el contenido de atributos cotejados con fuentes auténticas en otro Estado miembro, por analogía con lo dispuesto en el Reglamento (UE) 2016/1191. Un ejemplo de ello pueden ser determinados datos personales (relativos a la religión o las creencias de una persona). En algunos países de la UE, este tipo de información surte efectos jurídicos (por ejemplo, en Alemania, los datos del registro civil incluyen información sobre la religión, que determina la obligación de pagar un impuesto eclesiástico para casarse por ceremonia religiosa), mientras que en otros países (como Polonia) carece de tales efectos.

    6.4. Por consiguiente, el CESE invita a la Comisión Europea a que considere la posibilidad de aclarar el texto de la sección 9 a fin de dejar claro que el reconocimiento en cualquier otro Estado miembro de una declaración electrónica de atributos cualificada se limita a la confirmación de las circunstancias de hecho relacionadas con el atributo en cuestión y no produce efectos jurídicos en otros Estados miembros a menos que los atributos declarados se ajusten a su legislación nacional.
  2. Aspectos de seguridad

    A. Protección de datos en el contexto de los derechos fundamentales


    7.1. El CESE observa que, debido a la falta de un marco común para una identidad digital europea, en la mayoría de los casos los ciudadanos y otros residentes se enfrentan a obstáculos para el intercambio digital transfronterizo de información relacionada con su identidad, así como para intercambiar dicha información de forma segura y con un nivel elevado de protección de datos.

    7.2. El CESE acoge por ello positivamente los intentos de crear un sistema interoperable y seguro basado en carteras de identidad electrónica europea, que podría mejorar el intercambio de información entre los Estados miembros en relación con las situaciones laborales o los derechos sociales, entre otras cuestiones. En este contexto, el CESE espera que el nuevo marco para una identidad digital europea genere, por ejemplo, posibilidades de aumentar rápidamente las oportunidades de empleo transfronterizo y de ampliar la concesión automática de derechos sociales sin procedimientos de solicitud u otros esfuerzos administrativos adicionales.

    7.3. Sin embargo, desde el punto de vista del CESE, la protección efectiva de los datos es la principal preocupación que debe abordarse en el contexto de la protección de los derechos fundamentales, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales.

    7.4. Por lo tanto, el CESE apoya plenamente el requisito de que el marco para una identidad digital europea proporcione a todas las personas los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente (también en relación con el acceso desde el sector público). Como se indica en la propuesta, esto requerirá asimismo un nivel alto de seguridad en todos los aspectos de la provisión de la identidad digital, incluida la expedición de una cartera de identidad digital europea, y la infraestructura necesaria para la recopilación, el almacenamiento y la divulgación de datos de identidad digital.

    7.5. En este contexto, el CESE acoge favorablemente la propuesta de que los usuarios tengan derecho a revelar de forma selectiva sus atributos, limitándolos a los que sean necesarios en una situación determinada. En virtud de la propuesta, al utilizar la cartera de identidad digital europea el usuario podrá controlar la cantidad de datos que proporciona a terceros, y deberá ser informado de los atributos requeridos para la prestación de un determinado servicio.

    7.6. El CESE apoya la propuesta de separar física y lógicamente los datos personales relacionados con la provisión de carteras de identidad digital europea de cualquier otro dato almacenado por los emisores de dichas carteras, y respalda el requisito de que los proveedores de servicios cualificados de declaración electrónica de atributos deban constituir una entidad jurídica separada.

    7.7. Además de la necesidad de garantizar una protección eficaz de los datos, resulta esencial que los usuarios tengan control sobre sus datos. En ese sentido, el CESE también respaldaría la creación de un marco para una identidad digital europea basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados.

    7.8. El CESE subraya que, para garantizar un elevado nivel de protección jurídica de sus datos, los usuarios deberían tener un mayor control sobre las carteras de identidad de datos europea, en particular mediante la rastreabilidad del acceso a los datos de cada usuario. A tal fin, los aspectos técnicos —que se determinarán durante los debates posteriores a la aprobación de la propuesta— deben incluir la creación de un registro que permita al usuario verificar, previa solicitud, cualquier acceso a sus datos que se produzca.

    B. Otros aspectos relacionados con la seguridad y la responsabilidad

    7.9. De acuerdo con la propuesta, el nuevo marco para una identidad digital europea proporcionará mecanismos para prevenir el fraude y garantizar la autenticación de los datos de identificación personal. La propuesta incluye una disposición que introduce medios que permiten el cotejo de los atributos con fuentes auténticas: esto podría mejorar, por ejemplo, la seguridad en línea de los niños y niñas impidiéndoles acceder a contenidos inadecuados para su edad. El CESE señala que, a nivel nacional, tal protección no existe actualmente o es muy ineficaz.

    7.10. El CESE acoge con satisfacción la idea de que los navegadores web deban garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web previstos en el Reglamento eIDAS. A tal efecto, deben reconocer y mostrar certificados cualificados para la autenticación de sitios web con objeto de ofrecer un nivel alto de seguridad, lo que permitiría a los propietarios de los sitios web demostrar su identidad como propietarios de un sitio web y a los usuarios identificar a los propietarios de los sitios web con un alto grado de certeza. Al mismo tiempo, el CESE considera necesario proporcionar mecanismos de recurso sencillos, rápidos y eficaces para garantizar el desbloqueo de los sitios web que hayan sido marcados indebidamente como peligrosos. También deben establecerse normas en materia de responsabilidad en relación con todos los casos en que un sitio web sea calificado incorrectamente como peligroso.

    7.11. El CESE desea destacar que toda digitalización de datos plantea problemas de seguridad, especialmente por lo que se refiere a los enormes sistemas de almacenamiento y procesamiento de datos, que constituyen una fuente de información vulnerable al fraude y la pérdida. El CESE también es consciente de que hoy por hoy no existe un sistema de seguridad plenamente eficaz (es decir, sin lagunas ni errores) capaz de eliminar por completo esta amenaza.

    7.12. Señala por ello que, para minimizar todas estas situaciones indeseables relacionadas con los datos de los usuarios, la arquitectura técnica del marco para una identidad digital europea desarrollado por los Estados miembros en coordinación con la Comisión debería centrarse en medidas que aumenten la seguridad de los datos y proporcionen mecanismos de control de los datos. Estos mecanismos son importantes, por ejemplo, en contextos en los que los datos recabados de los usuarios se utilicen para fines distintos de los previstos inicialmente. Al mismo tiempo, el CESE considera que la arquitectura técnica debe desarrollarse respetando los derechos fundamentales y el principio de soberanía de los Estados miembros.

    7.13. El CESE constata que el artículo 13, apartado 1, del Reglamento eIDAS establece que los proveedores de servicios de confianza serán responsables por los daños causados de forma intencionada o por negligencia a cualquier persona física o jurídica como consecuencia del incumplimiento de las obligaciones derivadas de dicho Reglamento (y de las obligaciones de gestión de los riesgos para la ciberseguridad contempladas en el artículo 18 de la Directiva SRI2 propuesta, según se establece en la propuesta de la Comisión). Esta disposición debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad (artículo 13, apartado 3).

    7.14. En el contexto de las preocupaciones relativas a la responsabilidad, el CESE desea señalar que las cuestiones relacionadas con la definición de los daños, su cuantía y la indemnización correspondiente están reguladas por el Derecho interno de los Estados miembros. La responsabilidad de los proveedores de servicios de confianza puede verse limitada en virtud de las disposiciones pertinentes del Derecho interno y de las «políticas de prestación de servicios», que son definidas por los proveedores.

    7.15. El CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos, entre otras el robo, pérdida o divulgación de datos o el uso de estos para fines distintos de los previstos originalmente. Esta obligación debe incluir todas las situaciones mencionadas, independientemente de que exista o no culpa del proveedor (por dolo o negligencia).

    7.16. Cualquier robo, divulgación no autorizada o pérdida de datos (especialmente datos personales) puede causar un daño a largo plazo a su propietario. Una vez difundida la información digital, muchas entidades pueden hacerse con ella a lo largo del tiempo en contra de la voluntad de su propietario. El CESE anima a la Comisión y a los Estados miembros a que busquen y desarrollen mecanismos eficaces que amparen a los propietarios de los datos en tales casos.

    7.17. Las soluciones propuestas del nuevo sistema obligarán a los proveedores de servicios a mejorar significativamente sus sistemas de seguridad electrónica a un nivel mucho más elevado, prestando especial atención a la ciberseguridad. El CESE prevé que esto conlleve costes significativos y una modernización de la infraestructura informática actual y pueda suponer una carga excesiva para algunos proveedores de servicios, que podría incluso dar lugar a la desaparición, en algunos mercados, de los proveedores de servicios que no puedan permitirse tales inversiones en un breve período de tiempo. Por lo tanto, el CESE considera que la Comisión y los Estados miembros deberían buscar soluciones que protejan a los proveedores frente a la discriminación en este ámbito y permitan un «aterrizaje suave» en ese sentido, en particular ofreciendo la posibilidad de garantizar el cumplimiento de los nuevos requisitos en varias fases, dentro de un plazo razonable.


Bruselas, 20 de octubre de 2021
La Presidenta
del Comité Económico y Social Europeo
Christa SCHWENG

Sistemas VERI*FACTU


El Ministerio de Hacienda y Función publica está preparando un Real Decreto en el que, entre otros aspectos, se establecen los requisitos de los programas de facturación que deberán remitir por medios electrónicos a la Agencia Estatal de Administración Tributaria de forma continuada, segura, correcta, íntegra, automática, consecutiva, instantánea y fehaciente todos los registros de facturación generados.

Los sistemas informáticos que cumplan los requisitos tendrán la consideración de “Sistemas de emisión de facturas verificables” o “Sistemas VERI*FACTU”.

Aunque es suficiente una Declaración responsable por parte del fabricante del software respecto al cumplimiento de la normativa, no queda clara la forma en la que se acredita dicho cumplimiento.

Parece ser que la auditoría externa será la formula con la mayor seguridad jurídica para las empresas porque los requisitos son complejos para no especialistas.

Contacte con EADTrust en el 917160555 para conocer más sobre las auditorías de contabilidad certificada.