Archivo de la categoría: #eIdaS

Los servicios de confianza digital y el comercio electrónico en la relación UK-EU tras el Brexit


El borrador del acuerdo de comercio y cooperación entre la Unión Europea y la Comunidad Europea de Energía Atómica, por un lado, y el Reino Unido de Gran Bretaña e Irlanda del Norte por otro, se publicó finalmente el 25 de diciembre de 2020 tras anunciarse la Nochebuena previa que se había alcanzado el acuerdo.

Aunque el borrador está sujeto a cambios menores de redacción, se someterá a ratificación por los gobernos de los paises miembros, y de lograrse, se aplicará a partir del dia 1 de mes siguiente al que se haya producido dicha ratificación y la del Parlamento británico.

Los primeros meses desde el 1 de enero de 2021 pueden ser un poco caóticos salvo que se adopten medidas provisionales, cuestionables desde el punto de vista de la percepción de la soberanía de los países miembros o el Reino Unido solicite un aplazamiento de la fecha límite de vigencia del período de transición. Lo que no se espera, porque da la impresión de que el Primer Ministro británico precisamente pretende demostrar que permanecer en la Unión Europea supone renunciar a un cierto grado de soberanía nacional.

En el acuerdo, a partir de la página 116 el Título III se refiere a las condiciones de Comercio Electrónico (Digital Trade).

TITLE III: DIGITAL TRADE
Chapter 1: General provisions
Article DIGIT.1 Objective


The objective of this Title is to facilitate digital trade, to address unjustified barriers to trade enabled by electronic means and to ensure an open, secure and trustworthy online environment for businesses and consumers.

Article DIGIT.2 Scope

  1. This Title applies to measures of a Party affecting trade enabled by electronic means.
  2. This Title does not apply to audio-visual services.

Article DIGIT.3 Right to regulate


The Parties reaffirm the right to regulate within their territories to achieve legitimate policy objectives, such as the protection of public health, social services, public education, safety, the environment including climate change, public morals, social or consumer protection, privacy and data protection, or the promotion and protection of cultural diversity.

Article DIGIT.4 Exceptions


For greater certainty, nothing in this Title prevents the Parties from adopting or maintaining measures in accordance with Article EXC.1 [General exceptions], Article EXC.4 [Security exceptions] and Article SERVIN.5.39 [Prudential carve-out] for the public interest reasons set out therein.

Article DIGIT.5 Definitions

  1. The definitions in Article SERVIN.1.2 [Definitions] of Title II [Services and investment] of this Heading apply to this Title.
  1. For the purposes of this Title:
    (a) “consumer” means any natural person using a public telecommunications service for other than professional purposes;
    (b) “direct marketing communication” means any form of commercial advertising by which a natural or legal person communicates marketing messages directly to a user via a public telecommunications service and covers at least electronic mail and text and multimedia messages (SMS and MMS);
    (c) “electronic authentication” means an electronic process that enables the confirmation of:
    (i) the electronic identification of a natural or legal person, or
    (ii) the origin and integrity of data in electronic form;
    (d) “electronic registered delivery service” means a service that makes it possible to transmit data between third parties by electronic means and provides evidence relating to the handling of the transmitted data, including proof of sending and receiving the data, and that protects transmitted data against the risk of loss, theft, damage or any unauthorised alterations;
    (e) “electronic seal” means data in electronic form used by a legal person which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity;
    (f) “electronic signature” means data in electronic form which is attached to or logically associated with other data in electronic form that:
    (i) is used by a natural person to agree on the data in electronic form to which it relates; and
    (ii) is linked to the data in electronic form to which it relates in such a way that any subsequent alteration in the data is detectable;
    (g) “electronic time stamp” means data in electronic form which binds other data in electronic form to a particular time establishing evidence that the latter data existed at that time;
    (h) “electronic trust service” means an electronic service consisting of:
    (i) the creation, verification and validation of electronic signatures, electronic seals, electronic time stamps, electronic registered delivery services and certificates related to those services;
    (ii) the creation, verification and validation of certificates for website authentication; or
    (iii) the preservation of electronic signatures, seals or certificates related to those services;
    (i) “government data” means data owned or held by any level of government and by non-governmental bodies in the exercise of powers conferred on them by any level of government;
    (j) “public telecommunications service” means any telecommunications service that is offered to the public generally;
    (k) “user” means any natural or legal person using a public telecommunications service.

Chapter 2: Data flows and personal data protection
Article DIGIT.6 Cross-border data flows

  1. The Parties are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted between the Parties by a Party:
    (a) requiring the use of computing facilities or network elements in the Party’s territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of a Party;
    (b) requiring the localisation of data in the Party’s territory for storage or processing;
    (c) prohibiting the storage or processing in the territory of the other Party; or
    (d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Parties’ territory or upon localisation requirements in the Parties’ territory.
  2. The Parties shall keep the implementation of this provision under review and assess its functioning within three years of the date of entry into force of this Agreement. A Party may at any time propose to the other Party to review the list of restrictions listed in paragraph 1. Such a request shall be accorded sympathetic consideration.

Article DIGIT.7 Protection of personal data and privacy

  1. Each Party recognises that individuals have a right to the protection of personal data and privacy and that high standards in this regard contribute to trust in the digital economy and to the development of trade.
  2. Nothing in this Agreement shall prevent a Party from adopting or maintaining measures on the protection of personal data and privacy, including with respect to cross-border data transfers, provided that the law of the Party provides for instruments enabling transfers under conditions of general application34 for the protection of the data transferred.
  3. Each Party shall inform the other Party about any measure referred to in paragraph 2 that it adopts or maintains.


Chapter 3: Specific provisions
Article DIGIT.8 Customs duties on electronic transmissions

  1. Electronic transmissions shall be considered as the supply of a service within the meaning of Title II [Services and investment] of this Heading.
  2. The Parties shall not impose customs duties on electronic transmissions.

Article DIGIT.9 No prior authorisation

  1. A Party shall not require prior authorisation of the provision of a service by electronic means solely on the ground that the service is provided online, and shall not adopt or maintain any other requirement having an equivalent effect.
  2. A service is provided online when it is provided by electronic means and without the parties being simultaneously present.
  3. Paragraph 1 does not apply to telecommunications services, broadcasting services, gambling services, legal representation services or to the services of notaries or equivalent professions to the extent that they involve a direct and specific connection with the exercise of public authority.


Article DIGIT.10: Conclusion of contracts by electronic means

  1. Each Party shall ensure that contracts may be concluded by electronic means and that its law neither creates obstacles for the use of electronic contracts nor results in contracts being deprived of legal effect and validity solely on the ground that the contract has been made by electronic means.
  2. Paragraph 1 does not apply to the following:
    (a) broadcasting services;
    (b) gambling services;
    (c) legal representation services;
    (d) the services of notaries or equivalent professions involving a direct and specific connection with the exercise of public authority;
    (e) contracts that require witnessing in person;
    (f) contracts that establish or transfer rights in real estate;
    (g) contracts requiring by law the involvement of courts, public authorities or professions exercising public authority;
    (h) contracts of suretyship granted, collateral securities furnished by persons acting for purposes outside their trade, business or profession; or
    (i) contracts governed by family law or by the law of succession.

Article DIGIT.11 Electronic authentication and electronic trust services

  1. A Party shall not deny the legal effect and admissibility as evidence in legal proceedings of an electronic document, an electronic signature, an electronic seal or an electronic time stamp, or of data sent and received using an electronic registered delivery service, solely on the ground that it is in electronic form.
  2. A Party shall not adopt or maintain measures that would:
    (a) prohibit parties to an electronic transaction from mutually determining the appropriate electronic authentication methods for their transaction; or
    (b) prevent parties to an electronic transaction from being able to prove to judicial and administrative authorities that the use of electronic authentication or an electronic trust service in that transaction complies with the applicable legal requirements.
  3. Notwithstanding paragraph 2, a Party may require that for a particular category of transactions, the method of electronic authentication or trust service is certified by an authority accredited in accordance with its law or meets certain performance standards which shall be objective, transparent and non-discriminatory and only relate to the specific characteristics of the category of transactions concerned.

Article DIGIT.12: Transfer of or access to source code

  1. A Party shall not require the transfer of, or access to, the source code of software owned by a natural or legal person of the other Party.
  2. For greater certainty:
    (a) the general exceptions, security exceptions and prudential carve-out referred to in Article DIGIT.4 [Exceptions] apply to measures of a Party adopted or maintained in the context of a certification procedure; and
    (b) paragraph 1 of this Article does not apply to the voluntary transfer of, or granting of access to, source code on a commercial basis by a natural or legal person of the other Party, such as in the context of a public procurement transaction or a freely negotiated contract.
  3. Nothing in this Article shall affect:
    (a) a requirement by a court or administrative tribunal, or a requirement by a competition authority pursuant to a Party’s competition law to prevent or remedy a restriction or a distortion of competition;
    (b) a requirement by a regulatory body pursuant to a Party’s laws or regulations related to the protection of public safety with regard to users online, subject to safeguards against unauthorised disclosure;
    (c) the protection and enforcement of intellectual property rights; and
    (d) the right of a Party to take measures in accordance with Article III of the GPA as incorporated by Article PPROC.2 [Incorporation of certain provisions of the GPA and covered procurement] of Title VI [Public procurement] of this Heading.

Article DIGIT.13 Online consumer trust

  1. Recognising the importance of enhancing consumer trust in digital trade, each Party shall adopt or maintain measures to ensure the effective protection of consumers engaging in electronic commerce transactions, including but not limited to measures that:
    (a) proscribe fraudulent and deceptive commercial practices;
    (b) require suppliers of goods and services to act in good faith and abide by fair commercial practices, including through the prohibition of charging consumers for unsolicited goods and services;
    (c) require suppliers of goods or services to provide consumers with clear and thorough information, including when they act through intermediary service suppliers, regarding their identity and contact details, the transaction concerned, including the main characteristics of the goods or services and the full price inclusive of all applicable charges, and the applicable consumer rights (in the case of intermediary service suppliers, this includes enabling the provision of such information by the supplier of goods or services); and
    (d) grant consumers access to redress for breaches of their rights, including a right to remedies if goods or services are paid for and are not delivered or provided as agreed.
  1. The Parties recognise the importance of entrusting their consumer protection agencies or other relevant bodies with adequate enforcement powers and the importance of cooperation between these agencies in order to protect consumers and enhance online consumer trust.

Article DIGIT.14 Unsolicited direct marketing communications

  1. Each Party shall ensure that users are effectively protected against unsolicited direct marketing communications.
  2. Each Party shall ensure that direct marketing communications are not sent to users who are natural persons unless they have given their consent in accordance with each Party’s laws to receiving such communications.
  3. Notwithstanding paragraph 2, a Party shall allow natural or legal persons who have collected, in accordance with conditions laid down in the law of that Party, the contact details of a user in the context of the supply of goods or services, to send direct marketing communications to that user for their own similar goods or services.
  4. Each Party shall ensure that direct marketing communications are clearly identifiable as such, clearly disclose on whose behalf they are made and contain the necessary information to enable users to request cessation free of charge and at any moment.
  5. Each Party shall provide users with access to redress against suppliers of direct marketing communications that do not comply with the measures adopted or maintained pursuant to paragraphs 1 to 4.

Article DIGIT.15 Open government data

  1. The Parties recognise that facilitating public access to, and use of, government data contributes to stimulating economic and social development, competitiveness, productivity and innovation.
  2. To the extent that a Party chooses to make government data accessible to the public, it shall endeavour to ensure, to the extent practicable, that the data:
    (a) is in a format that allows it to be easily searched, retrieved, used, reused, and redistributed;
    (b) is in a machine-readable and spatially-enabled format;
    (c) contains descriptive metadata, which is as standard as possible;
    (d) is made available via reliable, user-friendly and freely available Application Programming Interfaces;
    (e) is regularly updated;
    (f) is not subject to use conditions that are discriminatory or that unnecessarily restrict re-use; and
    (g) is made available for re-use in full compliance with the Parties’ respective personal data protection rules.
  1. The Parties shall endeavour to cooperate to identify ways in which each Party can expand access to, and use of, government data that the Party has made public, with a view to enhancing and generating business opportunities, beyond its use by the public sector.

Article DIGIT.16 Cooperation on regulatory issues with regard to digital trade

  1. The Parties shall exchange information on regulatory matters in the context of digital trade, which shall address the following:
    (a) the recognition and facilitation of interoperable electronic trust and authentication services;
    (b) the treatment of direct marketing communications;
    (c) the protection of consumers; and
    (d) any other matter relevant for the development of digital trade, including emerging technologies.
  2. Paragraph 1 shall not apply to a Party’s rules and safeguards for the protection of personal data and privacy, including on cross-border transfers of personal data.
    Article DIGIT.17 – Understanding on computer services
  3. The Parties agree that, for the purpose of liberalising trade in services and investment in accordance with Title II [Services and Investment] of this Heading, the following services shall be considered as computer and related services, regardless of whether they are delivered via a network, including the Internet:
    (a) consulting, adaptation, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, support, technical assistance or management of or for computers or computer systems;
    (b) computer programmes defined as the sets of instructions required to make computers work and communicate (in and of themselves), as well as consulting, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, adaptation, maintenance, support, technical assistance, management or use of or for computer programmes;
    (c) data processing, data storage, data hosting or database services;
    (d) maintenance and repair services for office machinery and equipment, including computers; and
    (e) training services for staff of clients, related to computer programmes, computers or computer systems, and not elsewhere classified.
  4. For greater certainty, services enabled by computer and related services, other than those listed in paragraph 1, shall not be regarded as computer and related services in themselves.

Variaciones entre versiones de la Lista de Confianza de Prestadores de Servicios de Confianza (TSL) de España


El Ministerio de Asuntos Económicos y Transformación Digital en el que se encuadra la Secretaría de Estado de Digitalización e Inteligencia Artificial, Organo Supervisor de los Servicios Electrónicos de Confianza en España, publica la lista TSL que recoge los prestadores cualificados de servicios de confianza y los servicios cualificados que estos prestan, de acuerdo con lo dispuesto en el Reglamento Europeo UE 910/2014 (EIDAS).

Cada vez que se actualiza la lista, publica un fichero denominado “cambiosTSL.pdf” que contiene los cambios en la lista TSL desde la publicación anterior. No he conseguido encontrar ningún repositorio en el que estén las 107 listas publicadas hasta la fecha y como considero que es una información interesante, he pensado publicar en este blog las que yo he descargado a lo largo de los años.

Seguro que entre los lectores de este blog hay personas interesadas en la identidad digital y en los servicios electrónicos de confianza que me pueden ayudar a completar esta información. Aquellos que tengáis ficheros “cambiosTSL.pdf” descargados en un momento u otro, comprobad el número que figura al principio del contenido del archivo y enviádmelo, por favor, si es uno de los que me faltan. Podeis hacer el envío a julian (arroba) inza (punto)

Al final de este artículo iré poniendo los números de secuencia de los ficheros que me vayais enviando, para evitar en lo posible que envieis ficheros repetidos.

Y ahora indico la información relevante de los más recientes:

Número de secuencia: 107

Fecha de firma: 18 de noviembre de 2020

Cambios respecto a la versión anterior:

VÍNTEGRIS

  • Alta del servicio «Qualified Certificates issued by vinCAsign nebulaSUITE4 Authority» para la expedición de certificados cualificados de autenticación de sitios web.

ELECTRONIC IDENTIFICATION

  • Alta del prestador
  • Alta del servicio «Qualified Certificates issued by ELECTRONIC IDENTIFICATION CA1» para la expedición de certificados cualificados de firma electrónica.
  • Inclusión del cualificador «QCQSCDManagedOnBehalf» en el servicio anteriormente citado para los certificados emitidos en QSCD centralizado con el OID 1.3.6.1.4.1.55193.1.1.2.

Número de secuencia: 106

Fecha de firma: 23 de octubre de 2020

Cambios respecto a la versión anterior:

ANCERT

  • Alta del Servicio de Sellos cualificados de tiempo emitidos por «ANCERT Qualified Time-stamp Authority G2 (TSA/TSU)».

BEWOR

  • Alta del prestador cualificado de servicios de confianza
  • Alta del Servicio de expedición de certificados electrónicos cualificados de firma electrónica emitidos por “BEWOR TECH CA1”;

Número de secuencia: 105

Fecha de firma: 19 de octubre de 2020

Cambios respecto a la versión anterior:

 Ajustes técnicos en el fichero XML

FIRMAPROFESIONAL

  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado de CA para el Servicio « AC Firmaprofesional – INFRAESTRUCTURA».

Número de secuencia: 103

Fecha de firma: 5 de octubre de 2020

Cambios respecto a la versión anterior:


EADTRUST

  • Alta del prestador cualificado de servicios de confianza
  • Alta de los siguientes servicios de expedición de certificados cualificados de firma electrónica:
     “EADTrust RSA 2048 SubCA For Qualified Certificates 2019-NP”;
     “EADTrust RSA 4096 SubCA For Qualified Certificates 2019- NP”
     “EADTrust RSA 8192 SubCA For Qualified Certificates 2019- NP”;
     “EADTrust ECC 256 SubCA For Qualified Certificates 2019- NP”;
     “EADTrust ECC 384 SubCA For Qualified Certificates 2019- NP”.
  • Alta de los siguientes servicios de expedición de certificados cualificados de sello electrónico:

 “EADTrust RSA 2048 SubCA For Qualified Certificates 2019-LP”;
 “EADTrust RSA 4096 SubCA For Qualified Certificates 2019-LP”
 “EADTrust RSA 8192 SubCA For Qualified Certificates 2019-LP”;
 “EADTrust ECC 256 SubCA For Qualified Certificates 2019-LP”;
 “EADTrust ECC 384 SubCA For Qualified Certificates 2019-LP”.

  • Alta de los siguientes servicios de expedición de certificados electrónicos cualificados de autenticación de sitios web:

 “EADTrust RSA 4096 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust RSA 8192 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust ECC 256 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust ECC 384 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust ECC 256 SubCA For Qualified Web DV/OV Cert 2019”;
 “EADTrust ECC 384 SubCA For Qualified Web DV/OV Cert 2019”;
 “EADTrust RSA 4096 SubCA For Qualified Web DV/OV Cert 2019”;
 “EADTrust RSA 8192 SubCA For Qualified Web DV/OV Cert 2019”.

Alta de los siguientes servicios de expedición de sellos electrónicos cualificados de tiempo:
 Servicio “QTSU ALPHA EADTrust”;
 Servicio “QTSU DELTA EADTrust”;
 Servicio “QTSU EPSILON EADTrust”.
 FIRMAPROFESIONAL

Alta del «Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web emitidos por “AC Firmaprofesional Secure Web 2020”»

Alta del «Servicio de expedición de sellos electrónicos cualificados de tiempo emitidos por “AC Firmaprofesional CLOUD QUALIFIED TSU-2020″».


SIGNE

  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado con
    para el Servicio «Certificados reconocidos emitidos por SIGNE Autoridad de Certificación»;
  • Inclusión en la extensión “Additional Service Information” de las indicaciones “ForeSignatures” y “ForeSeals”;
  • Inclusión en la extensión “Service Information Extension” la indicación “QSCDManagedOnBehalf” para el servicio emitido en QSCD centralizado con los OIDs 1.3.6.1.4.1.36035.1.2.3, 1.3.6.1.4.1.36035.1.10.3 y 1.3.6.1.4.1.36035.1.5.3.
     SIA
  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado de sello electrónico de tiempo para el Servicio «Sellos de tiempo cualificados emitidos por TSAQC».


LOGALTY

  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado de CA para el Servicio «Certificados cualificados emitidos por Logalty Qualified CA G2».

Hasta aquí el contenido de los últimos cambios a la TSL.

Come veis, me falta el 104.

Ficheros “cambiosTSL.pdf” que sí tengo o he ido recibiendo:

107, 106, 105, 103, 101, 100, 99, 98, 93, 90, 89, 87, 86, 85, 83, 76, 62,

Iré poniendo un repositorio en un próximo artículo del Blog

Proyecto de Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados (OM Telepersonación)


El Reglamento (UE) nº 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE contempla en su artículo 24.1 d) la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física.

En España se ha ido consolidando la percepción de la urgencia de contar con una previsión legal para ello, de lo que ya se ha tratado en este blog en diferentes entradas:

El 4 de noviembre de 2020 el Ministerio de Asuntos Económicos y Transformación Digital remitió un correo electrónico a los prestadores de servicios de certificación y otras entidades interesadas informando sobre la tramitación de la nueva Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados con objeto de desarrollar el artículo 13.6 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, determinando las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado electrónico cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, tal y como prevé el artículo 24.1 d) del Reglamento (UE) 910/2014, del Parlamento y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

El correo electrónicio citado, de acuerdo con el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno invitaba a participar en el proceso de audiencia pública recogido en el portal del Ministerio. con el escaso plazo de una semana que concluyó el 11 de noviembre de 2020.

Además del texto propuesto, se acompañaba al borrador de Orden Ministerial de Telepersonación, su Memoria de Anaálisis de Impacto Normativo:

Se incluye la copia local de los citados docuementos:

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados


Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”. En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término “Reglamentariamente” puede interpretarse en el sentido de “dictar cuantas disposiciones sean precisas para su desarrollo”, hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir “Reglamentariamente” por “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital” para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”, que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

¿Qué sucede cuando un Prestador de Servicios Electrónicos de Confianza cesa su actividad?


En la actualidad ya existen varios tipos de servicios electrónicos de confianza, no solo la emisión de certificados, pero está claro que al menos uno de los problemas a gestionar cuando se deja de ofrecer un servicio de confianza es la revocación de certificados expedidos, y la disponibilidad de esta información para los afectados (titulares de los certificados y terceros que confían en ellos).

La Ley 59/2003de 19 de diciembre, de firma electrónica ,de próxima derogación establece en su artículo 21.3 que, en caso de cese de la actividad de un prestador de servicios de certificación, éste remitirá al Organismo Supervisor (a fecha de este artículo el Ministerio de Asuntos Económicos y Transformación Digital) con carácter previo al cese definitivo de su actividad la información relativa a los certificados electrónicos cuya vigencia haya sido extinguida para que éste se haga cargo de su custodia a efectos de lo previsto en el artículo 20.1.f.

Dicho artículo 20.1.f establece que la información relativa a un certificado “reconocido” (que en la actualidad tras la publicación del Reglamento EIDAS (Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE) se denomina “cualificado“) será custodiada, al menos durante 15 años contados desde el momento de su expedición, de manera que se puedan verificar las firmas realizadas con dicho certificado (serían válidas las firmas codificadas antes de su revocación).

Asimismo, el artículo 21.3 establece que el Organismo Supervisor mantendrá accesible al público un servicio de consulta específico donde figure una indicación sobre los citados certificados durante un período que se considere suficiente en función de las consultas efectuadas al mismo.

Por otro lado y en relación con la prestación de servicios cualificados de confianza, el Reglamento EIDAS obliga a los prestadores cualificados de servicios de confianza a informar al Organismo Supervisor de su intención de cesar la prestación de sus servicios (art. 24.2.a), así como a contar con un plan de cese actualizado para garantizar la continuidad del servicio (art. 24.2.i).

Además, conforme a lo indicado (art. 17.4.i) en el citado Reglamento EIDAS este Organismo Supervisor verifica la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades.

A lo largo del tiempo, en España han ido cesando sus actividades varios Prestadores de Servicios de Confianza, que lo han comunicado al Organismo Supervisor que ha publicado la información que se transcribe a continuación:

Safe Creative S.L.

  • Nombre o Razón Social: Safe Creative S.L.
  • Nombre Comercial: Safe Creative S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 26 de diciembre de 2019

Signen

  • Nombre o Razón Social: Signen Blockchain S.L.
  • Nombre Comercial: Signen
  • Fecha de resolución por la que se acepta la comunicación de cese: 9 de diciembre de 2019

Netfocus

  • Nombre o Razón Social: Hewlett-Packard Española Sociedad Limitada
  • Nombre Comercial: NETFOCUS
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de abril de 2009
  • El período de validez de todos los certificados electrónicos de Netfocus se encuentra expirado

Telefónica Empresas

  • Nombre o Razón Social: Telefónica Data España, S.A.U
  • Nombre Comercial: Telefónica Empresas
  • Fecha de resolución por la que se acepta la comunicación de cese: 29 de junio de 2012
  • Gestión de los certificados transferida al Prestador de Servicios de Certificación: Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal

CertiVer

  • Nombre o Razón Social: Certificate, Verification & Revocation S.L.
  • Nombre Comercial: CertiVer
  • Fecha de resolución por la que se acepta la comunicación de cese: 07 de junio de 2012  

Banesto CA

  • Nombre o Razón Social: Banco Español de Crédito, S.A
  • Nombre Comercial: Banesto CA
  • Fecha de resolución por la que se acepta la comunicación de cese: 05 de junio de 2013
  • El período de validez de todos los certificados electrónicos de Banesto CA se encuentra expirado

Telefónica GGCC (Grandes cuentas)

  • Nombre o Razón Social:   Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal
  • Nombre Comercial: Telefónica GGCC (Grandes cuentas)
  • Fecha de resolución por la que se acepta la comunicación de cese: 18 de marzo de 2014

Lista de certificados revocados (CRL) Telefónica

IpsCA

  • Nombre o Razón Social: IPS Certification Authority S.L.
  • Nombre Comercial: IPSCA
  • Fecha de cese: 10 de octubre de 2014

Autoridad de Sellado de Tiempo iCertia

  • Nombre o Razón Social: Evintia, S.L.
  • Nombre comercial: Autoridad de Sellado de Tiempo iCertia
  • Fecha de resolución por la que se acepta la comunicación de cese: 28 de marzo de 2015 

CICCP

  • Nombre o Razón Social: Colegio de Ingenieros de Caminos, Canales y Puertos
  • Nombre Comercial: CICCP
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de junio de 2015
  • El período de validez de todos los certificados electrónicos de CICCP se encuentra expirado

Healthsign, S.L.

  • Nombre o Razón Social: HEALTHSIGN, S.L.
  • Nombre Comercial: HEALTHSIGN, S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 1 de diciembre de 2015

Lista de certificados revocados (CRL) CODIGI CA

Lista de certificados revocados (CRL) CODILL CA

Lista de certificados revocados (CRL) CODITA CA

Lista de certificados revocados (CRL) COMG CA

Lista de certificados revocados (CRL) COMLL CA

Lista de certificados revocados (CRL) COMT CA

STARTCOM

  • Nombre o Razón Social: STARTCOM CA SPAIN S.L.U.
  • Nombre Comercial: STARTCOM
  • Fecha de recepción del escrito de comunicación de cese: 18 de enero de 2018

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 1

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 2

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 3

Lista de certificados revocados OV

Lista de certificados revocados IV

Lista de certificados revocados EV

Lista de certificados revocados DV

Tractis

  • Nombre o Razón Social: Negonation Platform, S.L.
  • Nombre Comercial: Tractis
  • Fecha de recepción del escrito de comunicación de cese: 21 de marzo de 2018

Banco Santander

  • Nombre o Razón Social: Banco Santander, S.A.
  • Nombre Comercial: Santander
  • Fecha de resolución por la que se acepta la comunicación de cese: 17 de octubre de 2018

Lista de certificados revocados (CRL)

Servicio de Salud de Castilla-La Mancha (SESCAM)

  • Nombre o Razón Social: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Nombre Comercial: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Fecha de cese: 10 de diciembre de 2018

El Ministerio ha publicado información sobre el Procedimiento administrativo para notificar el cese de un prestador.

Habilitación para identificación remota en servicios de confianza


El Boletín Oficial del Estado del viernes 11 de septiembre de 2020 ha publicado la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales.

Al derogarlo, deja sin efecto:

  • la modificación de los arts. 44.1, 46.4, 47.d) y la disposición adicional 1 del Real Decreto-ley 25/2020, de 3 de julio (Ref. BOE-A-2020-7311).
  • la prórroga, en la forma indicada, de la aplicación del art. 9 del Real Decreto-ley 19/2020, de 26 de mayo (Ref. BOE-A-2020-5315).
  • la prórroga, de lo indicado del art. 8 hasta el 31 de octubre de 2020, y la actualización del anexo del Real Decreto-ley 15/2020, de 21 de abril (Ref. BOE-A-2020-4554).
  • la modificación del art. 20.2 del Real Decreto-ley 11/2020, de 31 de marzo (Ref. 2020/4208) (Ref. BOE-A-2020-4208).
  • la modificación del art. 5 del Real Decreto-ley 6/2020, de 10 de marzo (Ref. BOE-A-2020-3434).
  • la transposición parcial de la Directiva (UE) 2019/692, de 17 de abril (Ref. DOUE-L-2019-80763).
  • la modificación de la disposición final 7 de la Ley 39/2015, de 1 de octubre (Ref. 2015/10565) (Ref. BOE-A-2015-10565).
  • la ampliación de lo indicado del art. 10 para el año 2020, del Real Decreto 1103/2014, de 26 de diciembre (Ref. BOE-A-2014-13672).
  • la modificación de las disposiciones adicionales 2.3 y 10 de la Ley 3/2013, de 4 de junio (Ref. 2013/5940) (Ref. BOE-A-2013-5940).
  • la prórroga de la disposición adicional 6 de la Ley Orgánica 2/2012, de 27 de abril (Ref. 2012/5730) (Ref. BOE-A-2012-5730).
  • la modificación de la disposición transitoria 1 de la Ley 13/2011, de 27 de mayo (Ref. 2011/9280) (Ref. BOE-A-2011-9280).
  • la suspensión, en la forma indicada para 2020, la aplicación del art. 49.4 de la Ley reguladora de las Haciendas Locales, texto refundido aprobado por Real Decreto Legislativo 2/2004, de 5 de marzo (Ref. BOE-A-2004-4214).
  • la modificación del art. 13 de la Ley 59/2003, de 19 de diciembre (Ref. (Ref. BOE-A-2003-23399).
  • la modificación del art. 54.2 de la Ley 47/2003, de 26 de noviembre (Ref. BOE-A-2003-21614).
  • la modificación de los arts. 58, 63 quater, 71 y la adición del art. 71 bis y la disposición adicional 37 a la Ley 34/1998, de 7 de octubre (Ref. BOE-A-1998-23284).
  • la modificación del art. 45.I.B) de la Ley del Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados, texto refundido aprobado por el Real Decreto Legislativo 1/1993, de 24 de septiembre (Ref. BOE-A-1993-25359).

De los aspectos que se tratan preferentemente en este blog cabe indicar que se han cancelado los siguientes cambios:

(…)

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

(…)

Disposición final sexta. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Se modifica la disposición final séptima de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que queda redactada como sigue:

«Disposición final séptima. Entrada en vigor.

La presente Ley entrará en vigor al año de su publicación en el “Boletín Oficial del Estado”.

No obstante, las previsiones relativas al registro electrónico de apoderamientos, registro electrónico, registro de empleados públicos habilitados, punto de acceso general electrónico de la Administración y archivo único electrónico producirán efectos a partir del día 2 de abril de 2021.»

Actividades de estandarización de los servicios de confianza en ETSI en 2019


El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés “Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report”.

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada “Publicly-Trusted Certificates”, certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521EN 319 531TS 119 524 Part 2TS 119 534 Part 2TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de PlugtestsTM  de validación de firmas digitales (Digital Signature Validation PlugtestsTM ).

 

 

 

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?


Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen (“Respuestas-anteproyecto-Ley-Servicios-Confianza“) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

  • BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
    Iniciativa     texto íntegro     (PDF)
  • BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
    Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.”

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que “Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado”, por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física”.

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales.”

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.


El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

En el epígrafe “Modificación del teléfono aportando vídeo y documentación relacionada” se indica:

Avisos

  • Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
  • Puede obtener más información sobre este trámite pinchando aquí
  • En la documentación deberá presentar:
  • Copia del DNI/NIE por las dos caras.
  • En el caso de los NIE, copia de la primera hoja del pasaporte.
  • Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
  • Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
    • Nombre y apellidos.
    • DNI/NIE.
    • Trámite que quiere realizar.
    • Número de teléfono que quiere registrar.
    • Puede usar esta frase a modo de guion:
      “Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666” al tiempo que muestra el DNI/NIE por las dos caras.
      El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir “Video autorretratos grabados por los solicitantes” tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

¿Cuantos Prestadores de Servicios Electrónicos de Confianza Cualificados hay en Europa?


El dato va cambiando con el tiempo.

El 2018 había 182, en 2019 había 194. Mi estimación (porque no he hecho la cuenta) es que en 2020 se superan los 200.

En la cumbre europea “CA-Day” de 2019 se resumió el número de Prestadores de Servicios Electrónicos de Confianza Cualificado por paises en este mapa:

Una de las sorpresas en aquella reunión fue ver que España cuenta con el mayor número de Prestadores de Servicios Electrónicos de Confianza de Europa.