Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

Hoy se ha publicado la versión 1 del documento «European Digital Identity Wallet Architecture and Reference Framework» que llevábamos algún tiempo esperando.

El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.

La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.

De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).

Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»

Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.

arf-arquitectura-marco-de-referencia-de-la-identidad-digital-europea-esquema-cartera-idue-de-eidas2Descarga

Proyectos Piloto a gran escala para impulsar la adopcion de la cartera de identidad europea EUDIWallet

Ayer, 17 de agosto de 2022 se cerró la licitación para optar a desarrollar los proyectos piloto a gran escala (LSP, Large-Scale Pilots) para implantar los prototipos de carteras de identidad digital que son la base de uno de los mayores cambios previstos con la modificación del Reglamento UE 910/2014 (EIDAS) que se está preparando tras la publicación el año pasado de la propuesta inicial de modificación del Reglamento EIDAS y que, de momento, estamos denominando «EIDAS2«. Se trata de la Licitación de pilotos a gran escala para el Marco Europeo de Identidad Digital de la Comisión Europea (Tender for Large Scale Pilots for European Digital Identity Framework).

Joerg Lenz ha difundido en LinkedIn un interesante resumen sobre los consorcios identificados para desarrollar este tipo de proyectos, y merece la pena recogerlo aquí. en español, para general conocimiento.

Algunos consorcios de empresas y organizaciones gubernamentales que mostraron interés en participar en estos pilotos han creado páginas web para describir el enfoque de su participación.

Se espera que en octubre o noviembre de 2022 se comunique oficialmente la información sobre los consorcios que se han presentado a la convocatoria y los que se han seleccionado. Podría haber más que los aquí recogidos.

Los consorcios que se han identificado son los siguientes:

• POTENTIAL
• NOBID
• Digital Credentials for Europe (DC4EU)
• Consorcio EU-Digital Wallet

POTENTIAL aborda seis casos de uso: registro electrónico de una tarjeta SIM, apertura de cuentas, permiso de conducir electrónico, servicios de gobierno electrónico, firma electrónica y receta electrónica. El sitio web contiene breves declaraciones sobre los objetivos y visiones de cada caso de uso. El consorcio reúne a 148 participantes de 19 Estados miembros de la UE y Ucrania.

El consorcio NOBID se ocupa de la emisión de carteras, la emisión de medios de pago y la aceptación de pagos.

EL Consorcio DC4EU trata eID, VCs, Educational Credentials and professional qualifications,  Social Security y contempla 23 países, incluida Ucrania.

El Consorcio «EUDI Wallet Consortium (EWC)» se centra especialmente en las credenciales digitales de viaje, la identificación organizativa y los pagos. Reúne a participantes de todos los Estados miembros de la UE más el Reino Unido y Ucrania. Desde el 17 de agosto, el sitio web actualizado también contiene información sobre casos de uso y experiencia de usuario (user journey).

El objetivo de la Comisión Europea es contar con al menos 4 proyectos piloto a gran escala para probar el despliegue de la Cartera Europea de Identidad Digital en casos de uso prioritarios y en relación con el principio de «una sola vez» bajo el reglamento de la Pasarela Digital Única (Single Digital Gateway). Estos proyectos piloto desplegarán la Cartera Europea de Identidad Digital (European Union Digital Identity Wallet o EUDI Wallet) en los ecosistemas nacionales de identificación electrónica de los Estados miembros, contando con la interoperabilidad transfronteriza de la identidad como elemento base de diseño, sin necesidad de modelos de reconocimiento muto que se consideara que no han funcionado en el despliegue del «EIDAS 1«.

Es interesante conocer igualmente el material difundido por la Comisión Europea para dar apoyo a la convocatoria: Material para la convocatoria de «Apoyo a la aplicación del Marco Digital Europeo» (Material for the call to provide «Support to the implementation of the European Digital Framework»). El material disponible incluye presentaciones, charlas e información recopilada en los dos seminarios web dedicados a la convocatoria. Adicionalmente hay una sección de preguntas frecuentes con información adicional y aclaraciones en la página web de la convocatoria.

EUDI Wallet

Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Se ha publicado un Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) no 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Dictamen 2021 del Comité Económico y Social Europeo sobre EIDAS2Descarga

Ponente: Tymoteusz Adam ZYCH
Consulta Parlamento Europeo, 8.7.2021
Consejo, 15.7.2021
Fundamento jurídico Artículo 114 del Tratado de Funcionamiento de la Unión Europea.
Sección competente Mercado Único, Producción y Consumo
Aprobado en sección 30.9.2021
Aprobado en el pleno 20.10.2021
Pleno nº 564
Resultado de la votación: 229 a favor / 2 en contra / 5 abstenciones

1. Conclusiones y recomendaciones
   
   1.1. El Comité Económico y Social Europeo (CESE) acoge con satisfacción la propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad
   digital europea, propuesta que adaptaría dicho acto jurídico a las necesidades actuales del mercado. La evaluación del Reglamento vigente ha puesto de manifiesto la necesidad de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso tanto al sector privado como al público y que estén disponibles para la gran mayoría de ciudadanos y residentes europeos.
   
   1.2. Sin embargo, el CESE observa que la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y
   personas con discapacidad. Por consiguiente, el CESE pide a la Comisión Europea y a los Estados miembros que establezcan el marco necesario para la campaña de educación e información digitales, que debería servir al mismo tiempo para aumentar la sensibilización en el ámbito de la protección de los datos personales.
   
   1.3. El CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser discrecional y gratuito. No obstante, la introducción de nuevas soluciones digitales implica necesariamente un tiempo y un gasto considerables. Por ello, el CESE pide a la Comisión Europea que profundice en la evaluación del tiempo necesario para la aplicación real del nuevo Reglamento a fin de no afectar negativamente al mercado y que proporcione un análisis más detallado y una mayor claridad en el Reglamento respecto a los costes previstos de su aplicación.
   
   1.4. El CESE observa que la sección 9 del Reglamento propuesto prevé el reconocimiento transfronterizo obligatorio de las declaraciones electrónicas de atributos cualificadas emitidas en un Estado miembro. Sin embargo, teniendo en cuenta que las disposiciones del Derecho interno varían a menudo considerablemente entre los Estados miembros, el CESE reconoce la necesidad de aclarar que el reconocimiento de una declaración electrónica de atributos cualificada en un Estado miembro se limita a la confirmación de los hechos, de manera análoga a lo establecido en el apartado 4 del artículo 2 del Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea (Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 200 de 26.7.2016, p. 1) ): «El presente Reglamento no se aplica al reconocimiento en un Estado miembro de los efectos jurídicos relativos al contenido de los documentos públicos expedidos por las autoridades de otro Estado miembro».
   
   1.5. Desde el punto de vista del CESE, la protección efectiva de los datos debe examinarse especialmente en el contexto de la protección de los derechos fundamentales, en particular el derecho a la intimidad y el derecho a la protección de los datos personales. El CESE respalda por ello plenamente el requisito de que el marco para una identidad digital europea proporcione a los usuarios los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente. El CESE invita a la Comisión y a los Estados miembros a que incluyan en las consultas sobre los aspectos técnicos del marco para una identidad digital europea la creación de un registro que permita a los usuarios rastrear cualquier acceso a sus datos.
   
   1.6. El CESE desea destacar las preocupaciones en materia de seguridad relacionadas con el proceso de digitalización, en particular las referidas al desarrollo de los enormes sistemas que almacenan y procesan datos vulnerables al fraude y la pérdida. El CESE también es consciente de que actualmente no existe ningún sistema de seguridad capaz de ofrecer una protección completa de los datos. Así pues, el CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos (por ejemplo, el robo o la divulgación de estos). Esta garantía debe ser independiente de que exista o no culpa del proveedor.
   
2. Introducción
   
   2.1. El objeto del presente Dictamen es la propuesta de Reglamento de la CE por el que se modifica el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73) ) («Reglamento eIDAS») en lo que respecta al establecimiento de un marco para una identidad digital europea.
   
   2.2. Como se señala en la exposición de motivos, el Reglamento eIDAS proporcionaría las siguientes protecciones y beneficios: 1) acceso a soluciones de identidad electrónica altamente seguras y fiables; 2) la garantía de que los servicios públicos y privados puedan apoyarse en soluciones de identidad digital fiables y seguras; 3) la garantía de que las personas físicas y jurídicas puedan utilizar soluciones de identidad digital; 4) la seguridad de que dichas soluciones presenten un conjunto de atributos y permitan el intercambio selectivo de datos de identidad, y de que dichos datos se limiten a las necesidades del servicio específico solicitado; y 5) la garantía de la aceptación de los servicios de confianza en la Unión Europea y de la igualdad de condiciones para su prestación. Las modificaciones propuestas responden al aumento de la demanda de soluciones digitales transfronterizas fiables que satisfagan la necesidad de identificar y autenticar a los usuarios con un elevado nivel de garantía.

3. Observaciones generales
   
   3.1. El CESE es consciente de las nuevas demandas del mercado interior en cuanto al desarrollo de servicios electrónicos de identificación y confianza para las transacciones electrónicas transfronterizas. Las soluciones existentes previstas en el Reglamento eIDAS, que empezaron a surtir efectos jurídicos en varias fases a partir de julio de 2016, no satisfacen dichas demandas, lo que se confirma por el hecho de que, en este momento, solo el 59 % de los residentes en la UE tengan acceso a soluciones seguras y fiables de identidad electrónica. Además, el acceso transfronterizo a estos servicios resulta limitado por la falta de interoperabilidad entre los sistemas que ofrecen los distintos Estados miembros.
   
   3.2. Por ello, el CESE acoge con satisfacción la nueva propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad digital europea, propuesta que
   adaptaría dicho acto jurídico a las necesidades actuales del mercado. Se calcula que las soluciones propuestas en el documento de la Comisión podrían contribuir a aumentar el número de usuarios de la identidad digital hasta el 80 % o incluso el 100 % de todos los ciudadanos y residentes de la UE.
   
   3.3. El CESE acoge con especial satisfacción las soluciones destinadas a aumentar la seguridad de los datos personales de los usuarios garantizando la discrecionalidad de compartir o no dichos datos y la posibilidad de controlar la naturaleza y la cantidad de datos facilitados a las partes usuarias. Según la propuesta, los Estados miembros mantendrán el control sobre los proveedores de servicios digitales, por lo que garantizarían que los conjuntos de datos sensibles (por ejemplo, relacionados con la salud, la religión y las creencias, las opiniones políticas o el origen racial o étnico) solo sean facilitados por los proveedores de servicios, cuando se les solicite, tras una decisión informada adoptada por el titular de la identidad de conformidad con la legislación nacional aplicable.
   
   3.4. El CESE señala que el calendario para la aplicación de determinadas disposiciones del nuevo Reglamento es bastante optimista e invita a la Comisión Europea a que, al establecer los plazos de aplicación definitivos, también tenga en cuenta el tiempo necesario para que los proveedores de servicios mejoren sus sistemas informáticos para cumplir las nuevas obligaciones. Por consiguiente, el CESE pide a la Comisión que analice en más profundidad el tiempo necesario para la aplicación real del nuevo Reglamento y, en consecuencia, amplíe el plazo de aplicación a fin de no afectar al mercado pertinente. Por ejemplo, la entrada en vigor del Reglamento obligará a que los actuales proveedores cualificados de servicios de confianza que ofrezcan la posibilidad de firma a distancia basada en dispositivos cualificados de creación de firmas electrónicas se conviertan en proveedores cualificados para ese servicio específico; estos proveedores necesitarán tiempo tanto para poner en práctica los aspectos técnicos como para completar el procedimiento de autorización.
   
   3.5. El CESE señala que, independientemente de sus beneficios, la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y personas con discapacidad. El CESE reconoce el papel esencial de la educación de la ciudadanía europea para combatir dicha exclusión; al mismo tiempo, dicha educación debe servir para aumentar la sensibilización en el ámbito de la protección de los datos personales.

4. Disponibilidad de un marco para una identidad digital europea y discrecionalidad de su uso
   
   4.1. El CESE acoge favorablemente la idea de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso no solo a los servicios públicos, sino también al sector privado. Por otra parte, el CESE está de acuerdo con los intentos de la Comisión Europea de poner un marco para una identidad digital europea a disposición de la inmensa mayoría de los ciudadanos europeos. Debido a los obstáculos que existen para el acceso transfronterizo a los servicios de identidad electrónica (por ejemplo, la falta de interoperabilidad entre los sistemas de identidad electrónica desarrollados por los Estados miembros), muchos residentes de la UE no los utilizan en absoluto. Las nuevas soluciones basadas en las carteras de identidad digital europea pueden contribuir a que al menos el 80 % de los europeos dispongan de servicios en línea fiables.
   
   4.2. Por tanto, el CESE respalda la propuesta de requerir que los Estados miembros emitan una cartera de identidad europea, un instrumento que permitiría a los usuarios: 1) solicitar y obtener, almacenar, seleccionar, combinar y compartir de forma segura, transparente y rastreable por el usuario, los datos de identificación de persona jurídica y la declaración electrónica de atributos que sean necesarios para autenticarse en línea y fuera de línea con el fin de acceder a servicios públicos y privados en línea; y 2) firmar por medio de firmas electrónicas cualificadas.
   
   4.3. Además, el CESE acoge favorablemente la propuesta de garantizar que la cartera de identidad digital europea sea igualmente accesible para las personas con discapacidad de conformidad con las disposiciones del anexo I de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70) ), en consonancia con el principio de no discriminación de la UE establecido en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea. Con el fin de evitar la exclusión digital en ese ámbito, el CESE propone que todas las soluciones se desarrollen en cooperación con las instituciones competentes y las ONG para personas con discapacidad, aplicando un enfoque basado en la participación de múltiples partes interesadas.
   
   4.4. Desde el punto de vista del CESE, el hecho de que el uso de una cartera de identidad digital europea sea discrecional para los ciudadanos y residentes también es un aspecto positivo. El CESE considera que los usuarios no deberían estar obligados a utilizar dicha cartera para acceder a servicios privados o públicos, sino simplemente tener la posibilidad de hacerlo.
   
   4.5. Desde el punto de vista de la asequibilidad, el CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser gratuito para los usuarios. No obstante, el CESE pide a la Comisión Europea que analice y aclare más detalladamente en el Reglamento los siguientes aspectos: i) el coste de emisión para las personas físicas, ii) los costes (de emisión y uso) para las entidades jurídicas y iii) los costes de añadir atributos de identidad digital a dicha cartera, ya que el CESE considera que cada una de estas adiciones representaría un servicio de confianza, por lo que conllevaría costes para el propietario de la cartera.
   
5. Aspectos relativos a la facilidad de uso de un marco para una identidad digital europea
   
   5.1. El CESE acoge con satisfacción la iniciativa de la Comisión Europea de mejorar la facilidad de uso de los medios de identificación electrónica mediante la creación de un marco común para una identidad digital europea basado en la confianza transfronteriza en las carteras de identidad digital europea.
   
   5.2. Según la propuesta, la facilidad de uso puede mejorarse con los medios previstos en el nuevo artículo 12 ter del Reglamento eIDAS. Dicho artículo contiene una serie de requisitos relativos al reconocimiento de las carteras de identidad digital europea, dirigidos no solo a los Estados miembros sino también a las partes usuarias privadas prestadoras de servicios y a las «plataformas en línea de muy gran tamaño», definidas en el artículo 25, apartado 1, de la Ley de Servicios Digitales propuesta (Propuesta de Reglamento relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE – COM (2020) 825 final). Sobre la base de estas nuevas disposiciones, algunos sectores privados (transporte, energía, servicios bancarios y financieros, seguridad social, salud, agua potable, servicios postales, infraestructuras digitales, educación y telecomunicaciones) deberán aceptar el uso de carteras de identidad digital europea para la prestación de servicios en los casos en que la legislación nacional o de la UE o las obligaciones contractuales exijan una autenticación reforzada del usuario para la identificación en línea. Según la propuesta de la Comisión, este mismo requisito se aplicaría a las plataformas en línea de muy gran tamaño (por ejemplo, las redes sociales), las cuales deberían aceptar el uso de carteras de identidad digital europea en relación con los atributos mínimos necesarios para un servicio en línea determinado para el que se solicite autenticación, como la acreditación de la edad.
   
   5.3. El CESE señala que, para garantizar la disponibilidad generalizada y facilidad de uso de los medios de identificación electrónica, incluidas las carteras de identidad digital europea, los proveedores privados de servicios en línea (que no sean considerados «plataformas de muy gran tamaño») deberían participar en el desarrollo de «códigos de conducta» de autorregulación que faciliten una amplia aceptación de los medios de identificación electrónica. La Comisión Europea debe ser la encargada de evaluar la eficacia y facilidad de uso de dichas disposiciones para los usuarios de carteras de identidad digital europea.

6. Cuestiones relativas a los efectos jurídicos de las carteras de identidad digital europea
   
   6.1. El CESE respalda la propuesta en lo que se refiere a la mejora del acceso a los servicios públicos digitales, en particular en situaciones transfronterizas.
   
   6.2. La nueva sección 9 propuesta del Reglamento eIDAS establece que una declaración electrónica de atributos cualificada emitida en un Estado miembro debe reconocerse como declaración electrónica de atributos cualificada en cualquier otro Estado miembro.
   
   6.3. Sin embargo, por lo que se refiere al Derecho interno de los Estados miembros, que en algunos casos puede diferir significativamente de un Estado a otro, el CESE señala que los atributos cotejados con fuentes auténticas en un Estado miembro deben limitarse únicamente a la confirmación de circunstancias de hecho y no deben producir efectos jurídicos en otros Estados miembros, a menos que los atributos en cuestión se ajusten a su legislación nacional. En esencia, las soluciones jurídicas propuestas no deben afectar al reconocimiento en un Estado miembro de efectos jurídicos relacionados con el contenido de atributos cotejados con fuentes auténticas en otro Estado miembro, por analogía con lo dispuesto en el Reglamento (UE) 2016/1191. Un ejemplo de ello pueden ser determinados datos personales (relativos a la religión o las creencias de una persona). En algunos países de la UE, este tipo de información surte efectos jurídicos (por ejemplo, en Alemania, los datos del registro civil incluyen información sobre la religión, que determina la obligación de pagar un impuesto eclesiástico para casarse por ceremonia religiosa), mientras que en otros países (como Polonia) carece de tales efectos.
   
   6.4. Por consiguiente, el CESE invita a la Comisión Europea a que considere la posibilidad de aclarar el texto de la sección 9 a fin de dejar claro que el reconocimiento en cualquier otro Estado miembro de una declaración electrónica de atributos cualificada se limita a la confirmación de las circunstancias de hecho relacionadas con el atributo en cuestión y no produce efectos jurídicos en otros Estados miembros a menos que los atributos declarados se ajusten a su legislación nacional.
   
7. Aspectos de seguridad
   
   A. Protección de datos en el contexto de los derechos fundamentales
   
   7.1. El CESE observa que, debido a la falta de un marco común para una identidad digital europea, en la mayoría de los casos los ciudadanos y otros residentes se enfrentan a obstáculos para el intercambio digital transfronterizo de información relacionada con su identidad, así como para intercambiar dicha información de forma segura y con un nivel elevado de protección de datos.
   
   7.2. El CESE acoge por ello positivamente los intentos de crear un sistema interoperable y seguro basado en carteras de identidad electrónica europea, que podría mejorar el intercambio de información entre los Estados miembros en relación con las situaciones laborales o los derechos sociales, entre otras cuestiones. En este contexto, el CESE espera que el nuevo marco para una identidad digital europea genere, por ejemplo, posibilidades de aumentar rápidamente las oportunidades de empleo transfronterizo y de ampliar la concesión automática de derechos sociales sin procedimientos de solicitud u otros esfuerzos administrativos adicionales.
   
   7.3. Sin embargo, desde el punto de vista del CESE, la protección efectiva de los datos es la principal preocupación que debe abordarse en el contexto de la protección de los derechos fundamentales, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales.
   
   7.4. Por lo tanto, el CESE apoya plenamente el requisito de que el marco para una identidad digital europea proporcione a todas las personas los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente (también en relación con el acceso desde el sector público). Como se indica en la propuesta, esto requerirá asimismo un nivel alto de seguridad en todos los aspectos de la provisión de la identidad digital, incluida la expedición de una cartera de identidad digital europea, y la infraestructura necesaria para la recopilación, el almacenamiento y la divulgación de datos de identidad digital.
   
   7.5. En este contexto, el CESE acoge favorablemente la propuesta de que los usuarios tengan derecho a revelar de forma selectiva sus atributos, limitándolos a los que sean necesarios en una situación determinada. En virtud de la propuesta, al utilizar la cartera de identidad digital europea el usuario podrá controlar la cantidad de datos que proporciona a terceros, y deberá ser informado de los atributos requeridos para la prestación de un determinado servicio.
   
   7.6. El CESE apoya la propuesta de separar física y lógicamente los datos personales relacionados con la provisión de carteras de identidad digital europea de cualquier otro dato almacenado por los emisores de dichas carteras, y respalda el requisito de que los proveedores de servicios cualificados de declaración electrónica de atributos deban constituir una entidad jurídica separada.
   
   7.7. Además de la necesidad de garantizar una protección eficaz de los datos, resulta esencial que los usuarios tengan control sobre sus datos. En ese sentido, el CESE también respaldaría la creación de un marco para una identidad digital europea basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados.
   
   7.8. El CESE subraya que, para garantizar un elevado nivel de protección jurídica de sus datos, los usuarios deberían tener un mayor control sobre las carteras de identidad de datos europea, en particular mediante la rastreabilidad del acceso a los datos de cada usuario. A tal fin, los aspectos técnicos —que se determinarán durante los debates posteriores a la aprobación de la propuesta— deben incluir la creación de un registro que permita al usuario verificar, previa solicitud, cualquier acceso a sus datos que se produzca.
   
   B. Otros aspectos relacionados con la seguridad y la responsabilidad
   
   7.9. De acuerdo con la propuesta, el nuevo marco para una identidad digital europea proporcionará mecanismos para prevenir el fraude y garantizar la autenticación de los datos de identificación personal. La propuesta incluye una disposición que introduce medios que permiten el cotejo de los atributos con fuentes auténticas: esto podría mejorar, por ejemplo, la seguridad en línea de los niños y niñas impidiéndoles acceder a contenidos inadecuados para su edad. El CESE señala que, a nivel nacional, tal protección no existe actualmente o es muy ineficaz.
   
   7.10. El CESE acoge con satisfacción la idea de que los navegadores web deban garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web previstos en el Reglamento eIDAS. A tal efecto, deben reconocer y mostrar certificados cualificados para la autenticación de sitios web con objeto de ofrecer un nivel alto de seguridad, lo que permitiría a los propietarios de los sitios web demostrar su identidad como propietarios de un sitio web y a los usuarios identificar a los propietarios de los sitios web con un alto grado de certeza. Al mismo tiempo, el CESE considera necesario proporcionar mecanismos de recurso sencillos, rápidos y eficaces para garantizar el desbloqueo de los sitios web que hayan sido marcados indebidamente como peligrosos. También deben establecerse normas en materia de responsabilidad en relación con todos los casos en que un sitio web sea calificado incorrectamente como peligroso.
   
   7.11. El CESE desea destacar que toda digitalización de datos plantea problemas de seguridad, especialmente por lo que se refiere a los enormes sistemas de almacenamiento y procesamiento de datos, que constituyen una fuente de información vulnerable al fraude y la pérdida. El CESE también es consciente de que hoy por hoy no existe un sistema de seguridad plenamente eficaz (es decir, sin lagunas ni errores) capaz de eliminar por completo esta amenaza.
   
   7.12. Señala por ello que, para minimizar todas estas situaciones indeseables relacionadas con los datos de los usuarios, la arquitectura técnica del marco para una identidad digital europea desarrollado por los Estados miembros en coordinación con la Comisión debería centrarse en medidas que aumenten la seguridad de los datos y proporcionen mecanismos de control de los datos. Estos mecanismos son importantes, por ejemplo, en contextos en los que los datos recabados de los usuarios se utilicen para fines distintos de los previstos inicialmente. Al mismo tiempo, el CESE considera que la arquitectura técnica debe desarrollarse respetando los derechos fundamentales y el principio de soberanía de los Estados miembros.
   
   7.13. El CESE constata que el artículo 13, apartado 1, del Reglamento eIDAS establece que los proveedores de servicios de confianza serán responsables por los daños causados de forma intencionada o por negligencia a cualquier persona física o jurídica como consecuencia del incumplimiento de las obligaciones derivadas de dicho Reglamento (y de las obligaciones de gestión de los riesgos para la ciberseguridad contempladas en el artículo 18 de la Directiva SRI2 propuesta, según se establece en la propuesta de la Comisión). Esta disposición debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad (artículo 13, apartado 3).
   
   7.14. En el contexto de las preocupaciones relativas a la responsabilidad, el CESE desea señalar que las cuestiones relacionadas con la definición de los daños, su cuantía y la indemnización correspondiente están reguladas por el Derecho interno de los Estados miembros. La responsabilidad de los proveedores de servicios de confianza puede verse limitada en virtud de las disposiciones pertinentes del Derecho interno y de las «políticas de prestación de servicios», que son definidas por los proveedores.
   
   7.15. El CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos, entre otras el robo, pérdida o divulgación de datos o el uso de estos para fines distintos de los previstos originalmente. Esta obligación debe incluir todas las situaciones mencionadas, independientemente de que exista o no culpa del proveedor (por dolo o negligencia).
   
   7.16. Cualquier robo, divulgación no autorizada o pérdida de datos (especialmente datos personales) puede causar un daño a largo plazo a su propietario. Una vez difundida la información digital, muchas entidades pueden hacerse con ella a lo largo del tiempo en contra de la voluntad de su propietario. El CESE anima a la Comisión y a los Estados miembros a que busquen y desarrollen mecanismos eficaces que amparen a los propietarios de los datos en tales casos.
   
   7.17. Las soluciones propuestas del nuevo sistema obligarán a los proveedores de servicios a mejorar significativamente sus sistemas de seguridad electrónica a un nivel mucho más elevado, prestando especial atención a la ciberseguridad. El CESE prevé que esto conlleve costes significativos y una modernización de la infraestructura informática actual y pueda suponer una carga excesiva para algunos proveedores de servicios, que podría incluso dar lugar a la desaparición, en algunos mercados, de los proveedores de servicios que no puedan permitirse tales inversiones en un breve período de tiempo. Por lo tanto, el CESE considera que la Comisión y los Estados miembros deberían buscar soluciones que protejan a los proveedores frente a la discriminación en este ámbito y permitan un «aterrizaje suave» en ese sentido, en particular ofreciendo la posibilidad de garantizar el cumplimiento de los nuevos requisitos en varias fases, dentro de un plazo razonable.

Bruselas, 20 de octubre de 2021
La Presidenta
del Comité Económico y Social Europeo
Christa SCHWENG

Plataformas de voto electrónico

Han pasado varios años desde la aparición de las primeras plataformas de voto electrónico con entidades pioneras como Scytl e Innovoto y en la actualidad ha florecido la oferta de este tipo de propuestas, en particular desde la irrupción de la pandemia COVID-19 que dió lugar a una gran flexibilización en gestión del voto electrónico societario.

Ya han aparecido diferentes plataformas de voto electrónico como las siguientes:

• Appsamblea
• Councilbox 
• CustomVote
• Demokratian
• Docuten
• Kuorum
• nVotes (antiguo Agora Voting)
• Sufragium
• Wevote

Que se suman a las ya citadas Scytl e Innovoto .

Durante la pandemia, el voto electrónico societario tuvo el apoyo de diversas normas que se acumularon el el BOE a lo largo de los meses.

El Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 definió en los artículo 40 y 41 referidos a «Medidas extraordinarias aplicables a las personas jurídicas de Derecho privado» y «Medidas extraordinarias aplicables al funcionamiento de los órganos de gobierno de las Sociedades Anónimas Cotizadas» la autorización singular para el voto a distancia, incluso cuando no estuviera previsto estatutariamente.

El Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19 introdujo algunos cambios en dichos artículos.

Posteriormente, el Real Decreto-ley 34/2020, de 17 de noviembre, de medidas urgentes de apoyo a la solvencia empresarial y al sector energético, y en materia tributaria consolidó y extendió estas prácticas, en su Artículo 3 referido a «Medidas extraordinarias aplicables a las personas jurídicas de Derecho privado».

En 2021, el Real Decreto-ley 5/2021, de 12 de marzo, de medidas extraordinarias de apoyo a la solvencia empresarial en respuesta a la pandemia de la COVID-19 , se prevé en la Disposición final octava, una modificación del Real Decreto-ley 34/2020, de 17 de noviembre, para seguir permitiendo que las sociedades anónimas que no hubieran podido modificar sus estatutos pudieran seguir celebrando la junta general o asamblea de socios por medios telemáticos durante el ejercicio 2021, siempre que se garantice la identidad del accionista que ejerce su derecho de voto y se ofrezca la posibilidad de participar en la reunión por distintas vías.

Nuevamente la Ley 2/2021, de 29 de marzo, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19 introduce en la Disposición final cuarta una Modificación del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 y medidas extraordinarias aplicables a las personas jurídicas de Derecho privado.

Si no se plantea para 2022 una nueva ampliación para la posibilidad de aplicación de medidas excepcionales de voto a distancia incluso cuando este voto no estuviera previsto en los estatutos, las sociedades no podrán hacerlo sin más.

En virtud de lo dispuesto en el artículo 182 bis de la Ley de Sociedades de Capital, todas aquellas Sociedades Anónimas y de Responsabilidad Limitada que deseen celebrar juntas exclusivamente telemáticas deberán:

• Prever estatutariamente la autorización de convocar por parte del órgano de administración, juntas para ser celebradas sin asistencia física de los socios o sus representantes, es decir, que autoricen la convocatoria de juntas exclusivamente telemáticas.
• La modificación estatutaria mediante la cual se otorgue dicha autorización deberá ser aprobada por socios que representen al menos dos tercios del capital presente o representado de la reunión. 
• La celebración de la junta exclusivamente telemática estará supeditada en todo caso a que la identidad y legitimación de los socios y de sus representantes se halle debidamente garantizada y a que todos los asistentes puedan participar efectivamente en la reunión mediante medios de comunicación a distancia apropiados, como audio o video, complementados con la posibilidad de mensajes escritos durante el transcurso de la junta, tanto para ejercitar en tiempo real los derechos de palabra, información, propuesta y voto que les correspondan, como para seguir las intervenciones de los demás asistentes por los medios indicados. A tal fin, los administradores deberán implementar las medidas necesarias con arreglo al estado de la técnica y a las circunstancias de la sociedad, especialmente el número de sus socios.
• El anuncio de convocatoria deberá informar de los trámites y procedimientos que habrán de seguirse para el registro y formación de la lista de asistentes, para el ejercicio por estos de sus derechos y para el adecuado reflejo en el acta del desarrollo de la junta. La asistencia no podrá supeditarse en ningún caso a la realización del registro con una antelación superior a una hora antes del comienzo previsto de la reunión.
• Las respuestas a los socios o sus representantes que ejerciten su derecho de información durante la junta se producirán durante la propia reunión o por escrito durante los siete días siguientes a la finalización de la junta.
• La junta exclusivamente telemática se considerará celebrada en el domicilio social con independencia de donde se halle el presidente de la junta.
• En todo lo no previsto en los preceptos anteriores, las juntas exclusivamente telemáticas quedarán reguladas por las reglas generales aplicables a las juntas presenciales, adaptadas en su caso a las especialidades que derivan de su naturaleza.

Sin embargo, es de prever que el voto electrónico se siga generalizando tras la experiencia acumulada en la pandemia y la oferta de soluciones.

Si necesita utilizar un sistema de voto electrónico societario, puede contactar con EADTrust, Prestador de Servicios Electrónicos de Confianza Cualificado, entidad pionera en voto electrónico en empresas, universidades, sindicatos, asociaciones y colegios oficiales con su plataforma Innovoto.

Llame al +34 91 7160555 (Madrid, España)

Expedición de certificados cualificados sin comparecencia presencial (a distancia)

El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

• Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
• ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Como desincentivar el uso de la firma electrónica

La Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información incluia en el artículo 2 el apartado 1 con el siguiente texto:

1. Sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio de interlocución telemática que, mediante el uso de certificados reconocidos de firma electrónica, les permita la realización de, al menos, los siguientes trámites:

a) Contratación electrónica de servicios, suministros y bienes, la modificación y finalización o rescisión de los correspondientes contratos, así como cualquier acto o negocio jurídico entre las partes, sin perjuicio de lo establecido en la normativa sectorial.

b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.

d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

Tras la publicación de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, que lo modifica en su Disposición final primera, la redacción actual, sin mención a los certificados cualificados de firma electrónica, queda

«1. Sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio seguro de interlocución telemática que les permita la realización de, al menos, los siguientes trámites:

a) Contratación electrónica de servicios, suministros y bienes, la modificación y finalización o rescisión de los correspondientes contratos, así como cualquier acto o negocio jurídico entre las partes, sin perjuicio de lo establecido en la normativa sectorial.

b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.

d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.»

Entiendo la lógica. «Ya que ha sido una obligación que se ha incumplido durante tantos años sin que haya tenido consecuencias, vamos a quitar la obligación, no sea que alguien diga que en España se incumple la Ley y no pasa nada«. La alternativa hubiera sido tipificar la infracción correspondiente (posiblemente infracción leve) en el artículo 18.

Hace 12 años reflexioné sobre el tema de la Interlocución telemática y forcé a mi empresa a realizar una fuerte inversión para desarrollar servicios de gestión de fima electrónica para facilitar el cumplimiento a las empresas obligadas, que no sirvió para nada.

El Pleno del Congreso aprueba el Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza

El Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza ha quedado aprobado en ell Congreso el 29/10/2020 una vez votados y ratificados los cambios realizados durante su tramitación en el Senado, con 319 votos a favor, 9 en contra y 19 abstenciones.

La norma, que entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado (BOE), adapta el ordenamiento jurídico español al marco regulatorio de la Unión Europea evitando la existencia de «vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de servicios electrónicos de confianza» y creando otros en los que colisiona con el Reglamento EIDAS. (Reglamento UE 910/2014).

Originalmente, su objetivo era complementar el citado reglamento en aquellos aspectos en los que delega la regulación a los países miembros.

Este Proyecto de Ley regula ciertos aspectos de los nuevos servicios electrónicos de confianza previstos en el Reglamento EIDAS, entre los que se encuentra la firma electrónica de persona física, ya recogida en la normativa española anterior, que ahora se deroga.

Entre los nuevos servicios se incluyen el sello electrónico de persona jurídica, los servicios de validación y conservación de firmas y sellos cualificados, el servicio de entrega electrónica certificada y la expedición de certificados cualificados para servidores web, que habiliten el protocolo de cifrado TSL.

En su artículo 6, uno de los puntos en los que colisiona con el Reglamento EIDAS, establece que el período de vigencia de los certificados electrónicos no será superior a cinco años. La normativa técnica relativa a la criptografía creada en desarrollo del Reglamento permite diferentes duraciones de los certificados , según la robustez de los algoritmos criptográficos.

Enmiendas del Senado

En cuanto a las enmiendas introducidas por el Senado, el Pleno de la Cámara Baja ha aceptado la modificación del apartado 1 del artículo 6 sobre la identidad y atributos de los titulares de los certificados cualificados.

De esta manera, en los supuestos de certificado de firma electrónica y de autenticación de sitios web expedidos a personas físicas, se podrán sustituir el DNI, el número de identidad de extranjero  o número de identificación fiscal por otro código o número identificativo «únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo». Esta previsión también es contraria al Reglamento EIDAS, ya que la normativa técnica creada en su desarrollo permite utilizar diferentes códigos numéricos asociados a la identidad, como el número de pasaporte, el número de la seguridad social, el número de colegiado o un número de identificación profesional. La posibilidad de usar números diferentes del NIE o del número de DNI era una demanda de la sociedad que lo considera necesario para proteger la privacidad del firmante, y el Congreso aprobó una enmienda en su trámite que lo permitía, pero que fue revertida inexplicablemente en la tramitación de la norma en el Senado.

Del mismo modo, la Cámara Baja ha ratificado los cambios introducidos por el Senado en el artículo 7, apartado 2, que establece que/para que mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante videoconferencia o vídeo-identificación.

El Pleno del Congreso también ha aprobado la modificación realizada por la Cámara Alta en el artículo 7, apartado 4, sobre la comprobación de datos por parte de prestadores de servicios de confianza mediante «documentos públicos, si resultan exigibles». Es una pena que se haya orillado la mención a documentos privados, considerando el grado de desarrollo de la figura del mandato en España, que coexiste con el poder notarial y que se había incluido en las enmiendas propuestas por el Congreso en la primera fase del trámite parlamentario, revertidas en el Senado.

Asimismo, la Cámara Baja ha ratificado la introducción del artículo 10 sobre la responsabilidad de los prestadores de servicios electrónicos de confianza y el artículo 10 (bis), que modifica las limitaciones de responsabilidad de servicios electrónicos de confianza.

El Pleno del Congreso también ha aprobado la modificación del artículo 11, de modo que los prestadores de servicios de confianza no cualificados figurarán «en una lista diferente» a la de los cualificados con la descripción detallada y clara de las características propias y diferenciales entre unos y otros. Algo que, en realidad, ya está sucediendo y que no precisaba de mención legal expresa.

Los artículos 1 y 2 de la disposición adicional tercera de este Proyecto de Ley también han sido ratificados por el Pleno del Congreso. De este modo, se reconoce que el DNI «es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos». Este es otro de los errores introducidos en el Senado, al cambiar una enmienda introducida en el Congreso . El DNI electrónico contiene dos certificados cualificados: uno de firma electrónica y otro de autenticación. Todos los certificados cualificados (ya sean de firma, ya sean de autenticación) deben ser válidos para acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos (de firma). Hacer la mención expresa al DNIe puede dar a entender que se trata de un caso singular, y no un caso particular de un concepto general.

Queda un sabor agridulce al finalizar el proceso parlamentario que ha conducido a la aprobación de la Ley. Por lo menos ha quedado derogada la Ley 59/2003 que generaba muchos problemas de interpretación en lo que no coincidía con el Reglamento UE 910/2014.

Pero muchos de los errores de la Ley 59/2003 se mantienen en la nueva Ley.

Una nueva esperanza: el Reglamento EIDAS está en un proceso de revisión que ha pasado en 2020 por una encuesta promovida por la Comisión Europea y que en unos meses dará lugar a un nuevo Reglamento. Una vez se publique el nuevo Reglamento habrá una nueva oportunidad de corregir los errores de la «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza» cuando haya que tramitar la próxima ley. Esperemos que no pasen otros 17 años.

Sandbox regulatorio: Una oportunidad de negocio

El próximo 6 de julio a las 17:30h tedrá lugar un evento online impulsado por el Colegio Oficial de Ingenieros de Telecomunicación Región de Murcia y el Hub Empresa de Banco Sabadell, con el título Sandbox regulatorio: Una oportunidad de negocio.

Hay que inscribirse en este enlace.

En esta sesión hablaremos del Sandbox regulatorio como punta de lanza de la creación de un nuevo modelo de negocio que aflora infinidad de oportunidades empresariales.

En esta sesión, moderada por Fernando Canos, Director Comercial Territorial Este en Banco Sabadell, contaremos con las siguientes intervenciones:

• Denis Nakagaki, Head of Digital Strategy and Partnerships de Innocells by Banco Sabadell: “Sandbox regulatorio como palanca para acelerar la innovación y acompañar mejor a nuestros clientes”
• Juan Luis Pedreño, Decano del Colegio de Ingenieros de Telecomunicación Región de Murcia, Catedrático de la Universidad Politécnica de Cartagena y Diputado Nacional en el Congreso de los Diputados: “Sandbox regulatorio en España, atracción de proyectos para el desarrollo de la Transformación Digital” –
• Julian Inza, Chief Audit Officer de TCAB (Trust Conformity Assessment Body): “Sandbox regulatorio para mejorar la competitividad de la innovación Fintech, Insurtech, Regtech, Suptech desde España”.

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.

El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

• Trámites
  • Trámites de registro
    • Registrarse en Cl@veAyuda
    • Registrarse en Cl@ve con certificado o DNI electrónico
    • Renunciar a Cl@veAyuda
  • Otros trámites
    • Regenerar Código de Activación de Cl@ve Permanente Ayuda
    • Modificar el teléfono con certificado o DNI electrónicoAyuda
    • Modificar el teléfono aportando vídeo y documentación relacionadaAyuda
    • Modificar el correo electrónicoAyuda
    • Obtener un nivel de seguridad superior en Cl@ve con certificado o DNI electrónicoAyuda
    • Revocar el certificado de Cl@ve Firma
• Información y Ayuda
  • Información general
  • Normativa, guías y manuales
  • Ayuda técnica
• Ficha

En el epígrafe «Modificación del teléfono aportando vídeo y documentación relacionada» se indica:

Avisos

• Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
• Puede obtener más información sobre este trámite pinchando aquí
• En la documentación deberá presentar:
• Copia del DNI/NIE por las dos caras.
• En el caso de los NIE, copia de la primera hoja del pasaporte.
• Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
• Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
  • Nombre y apellidos.
  • DNI/NIE.
  • Trámite que quiere realizar.
  • Número de teléfono que quiere registrar.
  • Puede usar esta frase a modo de guion:
    «Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666» al tiempo que muestra el DNI/NIE por las dos caras.
    El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir «Video autorretratos grabados por los solicitantes» tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

Material de estudio para la certificación profesional de Auditor EIdAS

Próximamente TCAB publicará más detalles sobre las jornadas de formación previstas en 2020 para la certificación profesional de Auditor EIdAS.

Ya se ha publicado el contenido previsto de la formación pero todavía no se han publicado las fechas para los exámenes de certificación y aspectos como los requisitos para ser Auditor EIdAS en el esquema de TCAB.

Quienes deseen prepararse para esta cualificación profesional pueden descargarse y utilizar como material de estudio las guías publicadas por ENISA.

Aunque el material está en inglés, a continuación se relacionan algunos de los documentos disponibles indicando también la traducción del título al español:

• Towards global acceptance of eIDAS audits

  Hacia la aceptación global de las auditorías eIDAS

  Publicado en Enero de 2019

• Assessment of Standards related to eIDAS

  Evaluación de estándares relacionados con eIDAS

  Publicado en Diciembre de 2018

• Recommendations for QTSPs based on Standards – Technical guidelines on trust services

  Recomendaciones para Prestadores de Servicios de Confianza Cualificados basadas en estándares: directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Guidelines on Supervision of Qualified Trust Services – Technical guidelines on trust services

  Pautas para la supervisión de servicios de confianza calificados – Pautas técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Guidelines on Initiation of Qualified Trust Services – Technical guidelines on trust services

  Directrices sobre el inicio de servicios de confianza cualificados – Directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Conformity assessment of Trust Service Providers – Technical guidelines on trust services

  Evaluación de conformidad de proveedores de servicios de confianza: directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Security framework for Trust Service Providers – Technical guidelines on trust services

  Marco de seguridad para proveedores de servicios de confianza: directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017