Situación actualizada a noviembre de 2022 del proceso legislativo para reformar el Reglamento EIDAS

1. La Comisión adoptó la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) el 3 de junio de 2021. La iniciativa modifica el Reglamento eIDAS de 2014, que sentó las bases necesarias para acceder de forma segura a los servicios y realizar transacciones en línea y a través de las fronteras en la UE. 

• La propuesta, basada en el artículo 114 del TFUE, exige a los Estados miembros que emitan una cartera europea de identidad digital con arreglo a un sistema de identificación electrónica notificado, basado en normas técnicas comunes, tras la certificación obligatoria. Con el fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, proporcionar directrices a los Estados miembros y evitar la fragmentación, la propuesta iba acompañada de una Recomendación para el desarrollo de un conjunto de instrumentos de la Unión (Toolbox). 

• El Reglamento propuesto tiene por objeto garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables mediante una cartera digital personal en un teléfono móvil. 

II. TRABAJO EN LAS DEMÁS INSTITUCIONES

1. En el Parlamento Europeo, la propuesta se remitió a la Comisión de Industria, Investigación y Energía (ITRE), y se solicitó opinión a tres comisiones, a saber, la Comisión de Mercado Interior y Protección del Consumidor (IMCO), la Comisión de Asuntos Jurídicos (JURI) y la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). La ponente del expediente es Romana Jerković (S&D, Croacia). La Comisión ITRE aún no ha aprobado su informe.

• El 15 de julio de 2021, se invitó al Comité Económico y Social Europeo a emitir su dictamen sobre la propuesta, que se presentó posteriormente el 20 de octubre de 2021. El Comité Europeo de las Regiones emitió espontáneamente un dictamen sobre la propuesta el 12 de octubre de 2021.

• El Supervisor Europeo de Protección de Datos (SEPD) publicó observaciones formales sobre la propuesta el 28 de julio de 2021.

III. SITUACIÓN EN EL CONSEJO 

1. En el Consejo, la propuesta ha sido examinada en el Grupo «Telecomunicaciones y Sociedad de la Información» (WP TELECOM), que inició los debates bajo la Presidencia portuguesa en junio de 2021. El análisis de la propuesta continuó en WP TELECOM bajo la Presidencia eslovena, y la primera lectura concluyó con éxito el 15 de noviembre de 2021.

• La Presidencia francesa presentó su primera propuesta transaccional los días 15 de febrero y 5 de abril de 2022, y la segunda se debatió los días 23 de mayo y 9 de junio de 2022. En relación con un debate de orientación celebrado en WP TELECOM el 19 de julio de 2022, la Presidencia checa, basándose en el trabajo de la Presidencia francesa, destacó las principales cuestiones pendientes de alto nivel y pidió a las delegaciones que expresaran sus opciones preferidas, con vistas a volver a redactar las partes pertinentes de la segunda propuesta transaccional en consecuencia. La versión revisada dio lugar a una tercera propuesta de compromiso que fue presentada por la Presidencia checa en el WP TELECOM de los días 5 y 8 de septiembre de 2022. Las iteraciones adicionales y los ajustes conexos fomentaron con éxito un nivel más profundo de convergencia en la mayoría de las cuestiones pendientes. 

• Sin embargo, la cuarta propuesta transaccional, presentada a las delegaciones en el WP TELECOM de 28 de septiembre de 2022, reveló una divergencia persistente entre los Estados miembros en torno a una cuestión de alto nivel en particular, a saber, el nivel de aseguramiento («LoA») elegido para la cartera de identidad digital europea. Algunos de los Estados miembros que ya cuentan con un sistema nacional de identificación electrónica adoptaron inicialmente, y posteriormente invirtieron, en un Nivel de Aseguramiento (LoA – Level of Assurance) «sustancial», mientras que en la propuesta actual de identificación electrónica se requiere un LOA de nivel «alto». Consciente de que ya existe un elevado número de medios de identificación electrónica de LoA «sustanciales» emitidos en algunos Estados miembros, la Presidencia checa ha propuesto además un mecanismo para facilitar el registro de usuarios, contribuyendo así a la adopción de las carteras de identidad digital europeas. La disposición permite a los usuarios inscribirse en la cartera de identidad digital europeo utilizando los medios nacionales de identificación electrónica existentes en base a LoA «sustanciales» junto con procedimientos adicionales de obtención remota de la identidad digital que conjuntamente permiten cumplir los requisitos de LoA «alto». Las especificaciones técnicas y operativas requerida están sujetas al desarrollo de legislación de aplicación para ello y deberá ser posible la certificación de la conformidad con los requisitos, llevada a cabo por un Organismo de Evaluación.

• La quinta propuesta de compromiso se discutió durante la reunión de WP TELECOM del 25 de octubre de 2022. Durante la reunión de WP TELECOM del 8 de noviembre de 2022, la Presidencia checa presentó los limitados cambios introducidos y, además de los comentarios adicionales y las sugerencias de redacción recibidas de las Delegaciones, preparó la versión final del texto transaccional con vistas a presentarlo al Coreper. 

• El 18 de noviembre de 2022, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin ningún cambio, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.

IV. PRINCIPALES ELEMENTOS DE LA PROPUESTA TRANSACCIONAL      

1. La cartera europea de identidad digital

Uno de los principales objetivos políticos de la propuesta de la Comisión de una cartera de identidad digital europea («cartera») es el de proporcionar a los ciudadanos y otros residentes, tal como se definen en la legislación nacional, un medio europeo armonizado de identidad digital basado en el concepto de una cartera europea de identidad digital. Como medio de identificación electrónica («medio de identificación electrónica») emitido en virtud de sistemas nacionales con nivel de aseguramiento «alto», la cartera sería un medio de identificación electrónica por derecho propio basado en la emisión de datos de identificación personal y de la propia cartera por parte de los Estados miembros.

2. Nivel de aseguramiento de la cartera europea de identidad digital

Los niveles de aseguramiento («LoA») deben determinar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, proporcionando así garantías de que la persona que reivindica una identidad determinada es, de hecho, la persona a la que se asignó dicha identidad.

Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Coreper del 14 de octubre de 2022, la cartera deberá expedirse dentro de un sistema de identificación electrónica que cumpla con el nivel de aseguramiento «alto». Además, se ha añadido al artículo 6 bis una disposición específica sobre el registro de usuarios. Este cambio tiene por objeto abordar las preocupaciones de los Estados miembros en los que ya se ha emitido un número significativo de medios nacionales de identificación electrónica en base a niveles de aseguramiento «sustanciales». La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales para darse de alta de forma remota y hacer posible la prueba de identidad en base a un nivel de aseguramiento «alto» y, en última instancia, a obtener una cartera. Dado que el proyecto de Reglamento sobre identificación electrónica se basa en esquemas de certificación de ciberseguridad que deben aportar un nivel armonizado de confianza en la seguridad de las carteras de identidad digitales europeas, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad tras un proceso de evaluación. Por consiguiente, la Presidencia ha propuesto un nuevo considerando 10 ter que  aborde estas condiciones técnicas previas para lograr un nivel de aseguramiento «alto» y permita un proceso de seguimiento dentro de la aplicación de las carteras de identidad digitales europeas.

3. Notificación a las partes informadas

3.1 Se ha reformulado el artículo 6ter, relativo a la notificación a las partes informadas (las que reciben algún tipo de testimonio o información de la cartera, denominadas a veces «partes que confían»). Como norma general, el proceso de notificación mediante el cual la parte informada comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y debe garantizar que la parte informada proporciona al menos la información necesaria para autenticarse frente a la cartera. De forma predeterminada, solo se requiere mínima información, y la notificación debe permitir el uso de procedimientos automatizados o simples de autonotificación. 

3.2 Sin embargo, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición para ello que tiene por objeto cubrir los casos en que se requiere un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada a través de la cartera, los Estados miembros podrán eximir a dichas partes informadas de la obligación de notificar su intención de confiar en las carteras.

4. Certificación

4.1 El Reglamento debe aprovechar, basarse y exigir el uso de esquemas de certificación de la normativa de Ciberseguridad pertinentes y existentes, o partes de los mismos, para certificar el cumplimiento de las Carteras, o partes de los mismos, con los requisitos de ciberseguridad aplicables, por ejemplo, la de ser considerado un dispositivo cualificado de gestión de claves privadas. En consecuencia, se aplica plenamente el marco de la normativa europea de Ciberseguridad, incluido el mecanismo de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad previsto en la normativa europea de Ciberseguridad. Con el fin de armonizar en la medida de lo posible el Reglamento sobre identificación electrónica y la normativa europea de ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para evaluar certificar las carteras según lo dispuesto en el Reglamento de ciberseguridad. 

4.2 Además, se anima a la Comisión a encargar a ENISA que emprenda el desarrollo y la adopción de un esquema específico de la normativa europea de Ciberseguridad para la certificación de la ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema europeo de certificación de ciberseguridad basado en criterios «Common Criteria») publicado en virtud de la normativa europea de Ciberseguridad se utilizará como metodología de referencia para la certificación de la cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los que cubren otros aspectos funcionales y operativos de la Cartera, debe establecerse una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos están sujetos a certificación.

5. Plazo para la provisión de la Cartera

Sobre la base de las orientaciones de los Estados miembros, se ha propuesto que el período de ejecución de 24 meses que determina la obligación de que los estados miembros ofrezcan su Cartera, se empiece a contar a partir de la adopción de los actos de ejecución a los que se refieren el artículo 6 bis, apartado 11, y  el artículo 6 quater, apartado 4. 

6. Tarifas

En el artículo 6 bis, apartado 6 bis, y en el considerando correspondiente se ha aclarado  que la expedición, el uso para la autenticación y la revocación de carteras deben ser gratuitos para las personas físicas. Excepto cuando se utilizan Carteras para la autenticación, los servicios que dependen del uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de los certificados electrónicos de atributos para su gestión por una Cartera. 

7. Acceso a las funciones de hardware y software, incluido el «elemento seguro»

La Presidencia ha sugerido establecer una articulación explícita con el Reglamento (UE) 2022/1925, que garantiza el acceso a las funciones de hardware y software como parte de los servicios básicos de plataforma proporcionados por los guardianes de acceso a los servicios en Internet. El artículo 12 ter, recientemente añadido, aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios profesionales de los guardianes de acceso a los servicios en Internet en el sentido de la definición respectiva de la DMA (Digital Markets Act). Se ha añadido una redacción del considerando para esbozar las implicaciones de la interconexión con la DMA, a saber, que debe exigirse a los guardianes de acceso a los servicios en Internet que garanticen, de forma gratuita, la interoperabilidad efectiva con las mismas características del sistema operativo, hardware o software que estén disponibles o se utilicen a efectos de interoperabilidad en la prestación de sus propios servicios complementarios y de apoyo.

8. Posibilidades alternativas para emitir los testimonios electrónicos de atributos por parte de los organismos públicos

Se ha mantenido la posibilidad de emitir testimonios electrónicos cualificados de atributos por parte de prestadores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que los testimonios electrónicos de atributos no cualificados puedan tener los mismos efectos jurídicos que los testimonios electrónicos cualificados de atributos cuando sean expedidos a una Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo designado del sector público en nombre de un organismo del sector público responsable de una fuente auténtica,  siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis y 45 quinquies y en el anexo VII.

9. Verificación de registros

El artículo 11 bis original  ha pasado a llamarse «Record Matching» (Comprobación de anotaciones registrales) ya que refleja mejor el objetivo de la disposición. Sobre la base de la discusión, el concepto de identificador único y persistente se ha mantenido para las carteras. La definición respectiva aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales, siempre que sirva a su propósito. Se establece explícitamente que la verificación de registros puede facilitarse mediante los testimonios electrónicos cualificados de atributos. Además, se ha incorporado al artículo 11 bis una disposición de salvaguardia  según la cual los Estados miembros garantizarán la protección de los datos personales y evitarán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes informadas, garantizarán la verificación de anotaciones registrales.

     VI. CONCLUSIÓN 

1. A la luz de lo anterior, se invita al Consejo a: 

• que examine el texto que recoge la propuesta de modificación del reglamento que reformará el Reglamento EIDAS;
• que confirme una orientación general sobre la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) en la reunión del Consejo de TTE (Telecomunicaciones) que se va a celebrar el 6 de diciembre de 2022. 

---

Arquitectura y marco de referencia (ARF) de la Cartera IDUE (EUDI Wallet) versión 1.0 en español

El viernes pasado la Comisión Europea publicó la Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 y yo escribí sobre ello un artículo en el blog (Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2- documento en español) .

Hacía referencia a la publicación de la la versión 1 del documento: «European Digital Identity Wallet Architecture and Reference Framework» que se esperaba a finales de octubre de 2022.

La versión anterior (llamémosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022 y de ella hice una traducción al español hace unos meses.

A lo largo del fin de semana he realizado la traducción al español de la nueva versión y la pongo a disposición de los interesados en el desarrollo del Juego Herramientas de la Identidad Digital europea.

arf_v100_2023-traduccion-esDescarga

Como se me habrán escapado errores, ruego a quienes los detecten que me lo hagan saber para depurar la traducción en futuras versiones.

Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

Hoy se ha publicado la versión 1 del documento «European Digital Identity Wallet Architecture and Reference Framework» que llevábamos algún tiempo esperando.

El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.

La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.

De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).

Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»

Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.

arf-arquitectura-marco-de-referencia-de-la-identidad-digital-europea-esquema-cartera-idue-de-eidas2Descarga

Aportación del Parlamento español al proceso legislativo europeo conducente a la modificación del Reglamento UE nº 910/2014 (EIDAS)

El Parlamento español remitió al Parlamento europeo en octubre de 2021 su primer informe respecto al proceso legislativo relativo a la propuesta de Reglamento siguiente: «Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity»

Este es el documento remitido (en PDF).

eidas2-es_parliament_cont1-com20210281_esDescarga

Y aquí la transcripción del infome:

INFORME 28/2021 DE LA COMISIÓN MIXTA PARA LA UNIÓN EUROPEA, DE 23 DE SEPTIEMBRE DE 2021, SOBRE LA APLICACIÓN DEL PRINCIPIO DE SUBSIDIARIEDAD POR LA PROPUESTA DE REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO POR EL QUE SE MODIFICA EL REGLAMENTO (UE) N.o 910/2014 EN LO QUE RESPECTA AL ESTABLECIMIENTO DE UN MARCO PARA UNA IDENTIDAD DIGITAL EUROPEA [COM (2021) 281 FINAL] [COM (2021) 281 FINAL ANEXO] [2021/0136 (COD)] {SEC (2021) 228 FINAL} {SWD (2021) 124 FINAL}{SWD (2021) 125 FINAL}

ANTECEDENTES

A. El Protocolo sobre la aplicación de los principios de subsidiariedad y proporcionalidad, anejo al Tratado de Lisboa de 2007, en vigor desde el 1 de diciembre de 2009, ha establecido un procedimiento de control por los Parlamentos nacionales del cumplimiento del principio de subsidiariedad por las iniciativas legislativas europeas. Dicho Protocolo ha sido desarrollado en España por la Ley 24/2009, de 22 de diciembre, de modificación de la Ley 8/1994, de 19 de mayo. En particular, los nuevos artículos 3 j), 5 y 6 de la Ley 8/1994 constituyen el fundamento jurídico de este informe.

B. La Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.0 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, ha sido aprobada por la Comisión Europea y remitida a los Parlamentos nacionales, los cuales disponen de un plazo de ocho semanas para verificar el control de subsidiariedad de la iniciativa, plazo que concluye el 4 de octubre de 2021.

C. La Mesa y los Portavoces de la Comisión Mixta para la Unión Europea, el 14 de septiembre de 2021, adoptaron el acuerdo de proceder a realizar el examen de la iniciativa legislativa europea indicada, designando como ponente al Diputado D. José María Sánchez García (GVOX), y solicitando al Gobierno el informe previsto en el artículo 3 j) de la Ley 8/1994.

D. Se ha recibido informe del Gobierno en el que se manifiesta la conformidad de la iniciativa con el principio de subsidiariedad. Asimismo, se han recibido informes del Parlamento Vasco y del Parlamento de Cantabria comunicando el archivo de expediente o la no emisión de dictamen motivado.

E. La Comisión Mixta para la Unión Europea, en su sesión celebrada el 23 de septiembre de 2021, aprobó el presente

INFORME

1.- El artículo 5.1 del Tratado de la Unión Europea señala que «el ejercicio de las competencias de la Unión se rige por los principios de subsidiariedad y proporcionalidad’. De acuerdo con el artículo 5.3 del mismo Tratado, «en virtud del principio de subsidiariedad la Unión intervendrá sólo en caso de que, y en la medida en que, los objetivos de la acción pretendida no puedan ser alcanzados de manera suficiente por los Estados miembros, ni a nivel central ni a nivel regional y local, sino que puedan alcanzarse mejor, debido a la dimensión o a los efectos de la acción pretendida, a escala de la Unión«.

2.- La Propuesta legislativa analizada se basa en el artículo 114 del Tratado de Funcionamiento de la Unión Europea, que establece lo siguiente:

«Artículo 114

1. Salvo que los Tratados dispongan otra cosa, se aplicarán las disposiciones siguientes para la consecución de los objetivos enunciados en el artículo 26. El Parlamento Europeo y el Consejo, con arreglo al procedimiento legislativo ordinario y previa consulta al Comité Económico y Social, adoptarán las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior.
( …. )
10. Las medidas de armonización anteriormente mencionadas incluirán, en los casos apropiados, una cláusula de salvaguardia que autorice a los Estados miembros a adoptar, por uno o varios de los motivos no económicos indicados en el artículo 36, medidas provisionales sometidas a un procedimiento de control de la Unión.»

3.- La Propuesta de Reglamento sobre la que se informa lo es de modificación del Reglamento (UE) n.0 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Luego la materia es relativa al mercado interior por lo que dicha materia es de competencia compartida entre la Unión y los Estados miembros (art.4.2.a) del Tratado de Funcionamiento de la Unión Europea.

Por consiguiente, debe ser examinada la conformidad de la Propuesta de Reglamento analizada con el principio de subsidiariedad.

La Propuesta de Reglamento sobre la que se informa se ordena a la armonización en la prestación de servicios de confianza, así como de la seguridad, tanto para los ciudadanos que utilicen una identidad digital europea con fines de representación en línea como para los proveedores de servicios en línea, de modo tal que puedan confiar plenamente en las soluciones de identidad digital y aceptarlas con independencia de dónde se hayan expedido.

Dicha armonización o aproximación de legislaciones (de los Estados miembros) – tal y como la denomina el capítulo 3 del Título VII del Tratado de Funcionamiento de la Unión Europea- es de suyo subsidiaria toda vez que es difícil concebir la armonización general de todas las legislaciones nacionales de los Estados miembros por otro sujeto que no sea la propia Unión Europea, si nos atenemos al concepto de subsidiariedad ex artículo 5.3 del Tratado citado, con la salvedad de que el contenido objetivo de la Propuesta de Reglamento analizada no fuese propiamente armonizador. No parece verificarse esta hipótesis de excepción.

Cumple censurar, no obstante y por último, el tenor hermético y de perfiles cuasi esotéricos de la exposición de motivos recibida, que precede a la Propuesta de Reglamento, cuando se afirma en ella lo siguiente: «ofrece un instrumento adecuado para establecer la estructura de interoperabilidad necesaria para la creación de un ecosistema de identidad digital a escala de la UE basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados«.

Además, incurre dicho texto en una petición de principio al justificar la proporcionalidad, sabido que la Propuesta de Reglamento es armonizadora, así: «Supone una contribución clara al objetivo de mejorar el mercado único digital a través de un marco jurídico más armonizado«.

CONCLUSIÓN

Por los motivos expuestos, la Comisión Mixta para la Unión Europea entiende que la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.• 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, es conforme al principio de subsidiariedad establecido en el vigente Tratado de la Unión Europea.

Disonancias entre el esquema de evaluación de conformidad del Reglamento EIDAS y los esquemas nacionales de evaluación derivados de la Directiva NIS2 y otras normas

Sería deseable que la legislación que se está completando (entre la que se incluye la propuesta de modificación de Reglamento EIDAS, conocida como EIDAS2) definiera mejor la relación entre el sistema europeo de evaluación de la conformidad del eIDAS y los 27 sistemas nacionales diferentes de evaluación de la conformidad derivados de la transposición de la Directiva de Ciberseguridad NIS2.

Y que los reguladores fueran conscientes de las interrelaciones entre normativas publicadas a nivel europeo y evitaran conflictos de interpretación de las normas o requisitos redundantes por ser ligeramente diferentes entre normas.

Así se evitarían duplicidades y se aprovecharía el sistema paneuropeo de evaluación de la conformidad del eIDAS ya existente, que se ha establecido para evitar que los problemas de ciberseguridad (a primera vista) se conviertan en un obstáculo insuperable para un mercado único europeo de servicios de confianza cualificados.

Sin una definición clara, no será fácil coordinar técnicamente las normas y los sistemas de acreditación de eIDAS y NIS2, lo que repercutirá negativamente en varios aspectos técnicos y en el desarrollo del mercado de la seguridad y su certificación.

Entre las cuestiones de coordinación pendientes de abordar, que afectan a varias normativas europeas en desarrollo, figuran las siguientes:

1. Necesidad de coordinación entre los requisitos de seguridad de NIS2 y eIDAS 2.0. Los conflictos pueden evitarse fácilmente, ya que la estructura de las políticas de seguridad de ambas normas es similar y comparte las mismas fuentes (la normativa ISO 27000).
2. Necesidad de coordinaciónentre los eIDS nacionales de la Parte II del eIDAS y los eIDS europeos de la Parte III del eIDAS, sometidos (también) a un sistema nacional de evaluación de la conformidad.
3. Necesidad de definición técnica y de coordinación técnica entre los Servicios de Identificación definidos en el art. 2.1.(15) de la Propuesta de Reglamento «Ley de Servicios Digitales» (COM 2020/842) y los de la Propuesta de Reglamento eIDAS 2.0 (COM 2021/281) en sus art. 6a(3), 6a(4), 6a(5), y otos,
4. Necesidad de definición técnica y de coordinación entre los servicios de la plataforma central definidos en los arts. 1 y 2 del Reglamento «Ley de Mercados Digitales» (COM 2020/842), y los QTS de eIDAS.
5. Conveniencia de utilizar una base normativa de estandarización internacional común para la evaluación de la conformidad, destinada específicamente a la certificación de productos, procesos y servicios, en particular la norma ya existente ISO 17065.

Expedición de certificados cualificados sin comparecencia presencial (a distancia)

El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

• Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
• ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados

Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza». En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término «Reglamentariamente» puede interpretarse en el sentido de «dictar cuantas disposiciones sean precisas para su desarrollo», hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir «Reglamentariamente» por «Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital» para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza», que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Actualización. En el BOE de 14 de mayo de 2021. Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.

Actividades de estandarización de los servicios de confianza en ETSI en 2019

El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés «Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report».

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432 y TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2 y TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada «Publicly-Trusted Certificates», certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521, EN 319 531, TS 119 524 Part 2, TS 119 534 Part 2 y TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2 y TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de Plugtests^TM  de validación de firmas digitales (Digital Signature Validation Plugtests^TM ).

 

 

 

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?

Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen («Respuestas-anteproyecto-Ley-Servicios-Confianza«) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

• BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
  Iniciativa     texto íntegro     (PDF)
• BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
  Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

«2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.»

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que «Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado», por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que «Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física».

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

«2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales.»

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.

El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

• Trámites
  • Trámites de registro
    • Registrarse en Cl@veAyuda
    • Registrarse en Cl@ve con certificado o DNI electrónico
    • Renunciar a Cl@veAyuda
  • Otros trámites
    • Regenerar Código de Activación de Cl@ve Permanente Ayuda
    • Modificar el teléfono con certificado o DNI electrónicoAyuda
    • Modificar el teléfono aportando vídeo y documentación relacionadaAyuda
    • Modificar el correo electrónicoAyuda
    • Obtener un nivel de seguridad superior en Cl@ve con certificado o DNI electrónicoAyuda
    • Revocar el certificado de Cl@ve Firma
• Información y Ayuda
  • Información general
  • Normativa, guías y manuales
  • Ayuda técnica
• Ficha

En el epígrafe «Modificación del teléfono aportando vídeo y documentación relacionada» se indica:

Avisos

• Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
• Puede obtener más información sobre este trámite pinchando aquí
• En la documentación deberá presentar:
• Copia del DNI/NIE por las dos caras.
• En el caso de los NIE, copia de la primera hoja del pasaporte.
• Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
• Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
  • Nombre y apellidos.
  • DNI/NIE.
  • Trámite que quiere realizar.
  • Número de teléfono que quiere registrar.
  • Puede usar esta frase a modo de guion:
    «Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666» al tiempo que muestra el DNI/NIE por las dos caras.
    El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir «Video autorretratos grabados por los solicitantes» tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.