Archivo de la categoría: #eIdaS

Dia internacional de la firma electrónica


El dia 30 de junio se conmemora en Estados Unidos el dia nacional de la firma electrónica.

Pero ¿cual podría ser el dia internacional de la firma electrónica?

Es un debate interesante que abro aquí, si bien lo inauguro con una propuesta. 4 de septiembre.

Porque el 4 de septiembre de 1998 se firmó electrónicamente un comunicado conjunto entre Estados Unidos e Irlanda aprovechando la visita del Presidente Bill Clinton a Irlanda. Su anfitrión, el Primer Ministro «Taoiseach» Bertie Ahern fue el otro firmante.

Ya hice referencia a este acto en mi post «Jordi Sevilla en el Observatorio del Notariado para la Sociedad de la Información» en 2006.

En una visita a la factoría del fabricante de PCs Gateway de Dublín, se preparó el entorno para la firma electrónica utilizando portátiles de Gateway y el software de firma electrónica de la empresa Baltimore Technologies, radicada en Irlanda.

La visita presidencial estaba prevista para la primera semana de septiembre. Fran Rooney, director general de Baltimore, y Brendan Tuohy, secretario general del Departamento de Empresas Públicas, elaboraron una idea para que los gobiernos de Irlanda y Estados Unidos publicaran un comunicado sobre comercio electrónico, firmado con tecnologías de seguridad digital en lugar de con pluma y tinta. Luego consiguieron el apoyo a este plan de un alto asesor político del Presidente Clinton.

La PKI era muy adecuada para la gestión de documentos oficiales. Su contenido no podía alterarse sin ser detectado después de adjuntar las firmas digitales. Pero los documentos podían seguir siendo copiados y distribuidos tan ampliamente como fuera necesario. El software de autoridad de certificación UniCert, de Baltimore, generaría los certificados digitales para identificar al Presidente Clinton y al Taoiseach Ahern. Esos certificados podrían almacenarse en tarjetas inteligentes y el proceso de firma adoptaría la forma de una transacción con tarjeta.

Clinton y Ahern recibieron sus tarjetas inteligentes personales, cada una con un código de firma único y un certificado digital. Los dos Jefes de Estado introdujeron sus tarjetas inteligentes en los lectores e introdujeron sus códigos personales, generando las firmas adjuntas al comunicado. Éste aparece, con los sellos de las firmas, en la página web de la Casa Blanca.

«¿Tienen idea de cuánto tiempo paso cada día firmando con mi nombre?» preguntó Clinton. «Me voy a sentir completamente inútil si no puedo hacer al menos eso».

El escenario estaba preparado para una exhibición de Baltimore Technologies ante un público invitado y los medios de comunicación internacionales que acompañaban al presidente estadounidense. El fabricante de ordenadores Gateway aceptó acoger el acto en sus instalaciones de Clonshaugh. Los políticos interpretaron su papel a la perfección y toda la tecnología funcionó bien.

Sin embargo, fue un inconveniente que el proceso de firma digital fuera más o menos instantáneo. Para mejorar la visivilidad de la operación, Baltimore ideó una animación especial que mostraba la transferencia de las firmas de las tarjetas al documento. Esta animación prolongaba la ceremonia y creaba una sensación de ocasión especial.

En retrospectiva, el aspecto más interesante del comunicado era el docuento que prescribía a los gobiernos en la infraestructura en evolución para las transacciones basadas en Internet: proporcionar un marco jurídico claro, promover un entorno favorable a la competencia y garantizar una protección adecuada de los objetivos de interés público, como la privacidad, los derechos de propiedad intelectual y la protección del consumidor. El acuerdo intergubernamental también afirmaba que los impuestos sobre el comercio electrónico debían ser coherentes y no discriminatorios.

En los tratados internacionales los firmante se suelen intercambiar las plumas. Quizá habría que pensar en otro acto protocolario que no implicara intercambiarse las tarjetas chip, para no transmitir ideas equívocas. Quizá los lectores de tarjetas («chipeteras»).

Dia de la firma electrónica: 30 de junio


El próximo dia 30 de junio se conmemora en Estados Unidos el dia nacional de la firma electrónica.

Se ha elegido la fecha por el momento en que el presidente William Jefferson («Bill») Clinton firma la denominada «Electronic Signatures in Global & National Commerce Act» o «ESIGN Act» el 30 de junio del año 2000. 10 años más tarde, el Congreso de Estados Unidos aprobó una resolución para que el 30 de junio tuviera la consideración de «National ESIGN Day» para aumentar la visibilidad de las irmas electrónicas y promover las ventajas el el comercio electrónico.

Antes de la adopción en el año 2000 de la Ley de Firma Electrónica (ESIGN-Electronic Signatures in Global & National Commerce Act), en 1999 se estableció la Ley Uniforme de Transacciones Electrónicas (UETA-Uniform Electronic Transactions Act). La diferencia entre la ESIGN y la UETA es que la ESIGN es una legislación federal, mientras que la UETA es adoptada por los estados individualmente. En el momento de la creación de la UETA, todos los estados excepto 3 adoptaron la ley en la legislación estatal.

Para firmar el proyecto de ley, el presidente introdujo una tarjeta inteligente criptográfica en un lector, tecleó su contraseña – «Buddy» (nombre de su perro) – y una réplica de su firma apareció en la pantalla, al tiempo que en el interior del fichero quedaba el hash del documento cifrado con su clave privada y acompañado de su certificado. Pero antes de hacerlo, firmó el proyecto de ley a la manera tradicional, con una pluma, debido a que los abogados de la Casa Blanca creían que la Constitución de Estados Unidos exige que los presidentes pongan la pluma sobre el papel para aprobar la legislación.

Es curioso, porque parece ser que en 2005 los abogados de la Casa Blanca redactaron un informe por el que que la firma con Autopen era constitucional. Y puestos a elegir, me parece que el uso de una tarjeta chip es más lógico que el de una máquina de firma.

Directrices EPREL: creación de perfiles de usuario y de organizaciones y verificación de proveedores


Ya he hablado en otros artículos sobre la base de datos EPREL y de los certificados cualificados de persona jurídica para sello que son necesarios patra inscribir organizaciones en esa plataforma.

La Comisión Europea ha publicado un documento de directrices de EPREL en inglés que guia a los proveedores de aparatos eléctricos para inscribir sus productos en la citada base de datos EPREL que permite gestionar las etiquetas energéticas.

Aquí se aporta el documento de directrices en español, con referencias a EADTrust en los aspectos en los que el documento se refiere a los Prestadores Cualificados de Confianza Digital en general.

Se han corregido algunas referecias al término «Sello» cuando la intención del redactor era referirse al término «Certificado».

También se ha procurado aclarar un aspecto un poco confuso referido a un tipo de identificación de empresas en registro mercantil, que en España no se usa pero que es necesario para el proceso de Verificación de la empresa en EPREL. Se trata de una herramienta de la Unión Europea que permite buscar empresas en todos los Registros Mercantiles de Europa, y que genera como resultado un identificador numérico del registro mercantil y un número interno del registro para la empresa de que se trate.

Por ejemplo, buscando EADTrust, los datos son estos:

Business registers – search for a company in the EU

EAD TRUST EUROPEAN AGENCY OF DIGITAL TRUST SL – Spain

  • Registered office: C/ MENTRIDA 6 – LOCAL, MADRID, Spain
  • Registration number: 080862918
  • Company type: sociedad de responsabilidad limitada
  • Business Register ID: 28065
  • EUID: ES28065.080862918

Un aspecto a tener en cuenta es que es crítico que los campos incluidos en el certificado coincidan con los inscritos en la base de datos para que se complete la verificación. Por ello es recomendable que las organizaciones que todavía no cuentan con certificados cualificados de persona jurídica para sello contacten con EADTrust para tener la certeza de que no habrá problemas con el certificado.

Se puede contactar con EADTrust llamando al 917160555.

Disonancias entre el esquema de evaluación de conformidad del Reglamento EIDAS y los esquemas nacionales de evaluación derivados de la Directiva NIS2 y otras normas


Sería deseable que la legislación que se está completando (entre la que se incluye la propuesta de modificación de Reglamento EIDAS, conocida como EIDAS2) definiera mejor la relación entre el sistema europeo de evaluación de la conformidad del eIDAS y los 27 sistemas nacionales diferentes de evaluación de la conformidad derivados de la transposición de la Directiva de Ciberseguridad NIS2.

Y que los reguladores fueran conscientes de las interrelaciones entre normativas publicadas a nivel europeo y evitaran conflictos de interpretación de las normas o requisitos redundantes por ser ligeramente diferentes entre normas.

Así se evitarían duplicidades y se aprovecharía el sistema paneuropeo de evaluación de la conformidad del eIDAS ya existente, que se ha establecido para evitar que los problemas de ciberseguridad (a primera vista) se conviertan en un obstáculo insuperable para un mercado único europeo de servicios de confianza cualificados.

Sin una definición clara, no será fácil coordinar técnicamente las normas y los sistemas de acreditación de eIDAS y NIS2, lo que repercutirá negativamente en varios aspectos técnicos y en el desarrollo del mercado de la seguridad y su certificación.

Entre las cuestiones de coordinación pendientes de abordar, que afectan a varias normativas europeas en desarrollo, figuran las siguientes:

  1. Necesidad de coordinación entre los requisitos de seguridad de NIS2 y eIDAS 2.0. Los conflictos pueden evitarse fácilmente, ya que la estructura de las políticas de seguridad de ambas normas es similar y comparte las mismas fuentes (la normativa ISO 27000).
  2. Necesidad de coordinaciónentre los eIDS nacionales de la Parte II del eIDAS y los eIDS europeos de la Parte III del eIDAS, sometidos (también) a un sistema nacional de evaluación de la conformidad.
  3. Necesidad de definición técnica y de coordinación técnica entre los Servicios de Identificación definidos en el art. 2.1.(15) de la Propuesta de Reglamento «Ley de Servicios Digitales» (COM 2020/842) y los de la Propuesta de Reglamento eIDAS 2.0 (COM 2021/281) en sus art. 6a(3), 6a(4), 6a(5), y otos,
  4. Necesidad de definición técnica y de coordinación entre los servicios de la plataforma central definidos en los arts. 1 y 2 del Reglamento «Ley de Mercados Digitales» (COM 2020/842), y los QTS de eIDAS.
  5. Conveniencia de utilizar una base normativa de estandarización internacional común para la evaluación de la conformidad, destinada específicamente a la certificación de productos, procesos y servicios, en particular la norma ya existente ISO 17065.

Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»


Se ha publicado un Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) no 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Ponente: Tymoteusz Adam ZYCH
Consulta Parlamento Europeo, 8.7.2021
Consejo, 15.7.2021
Fundamento jurídico Artículo 114 del Tratado de Funcionamiento de la Unión Europea.
Sección competente Mercado Único, Producción y Consumo
Aprobado en sección 30.9.2021
Aprobado en el pleno 20.10.2021
Pleno nº 564
Resultado de la votación: 229 a favor / 2 en contra / 5 abstenciones

  1. Conclusiones y recomendaciones

    1.1. El Comité Económico y Social Europeo (CESE) acoge con satisfacción la propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad
    digital europea
    , propuesta que adaptaría dicho acto jurídico a las necesidades actuales del mercado. La evaluación del Reglamento vigente ha puesto de manifiesto la necesidad de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso tanto al sector privado como al público y que estén disponibles para la gran mayoría de ciudadanos y residentes europeos.

    1.2. Sin embargo, el CESE observa que la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y
    personas con discapacidad
    . Por consiguiente, el CESE pide a la Comisión Europea y a los Estados miembros que establezcan el marco necesario para la campaña de educación e información digitales, que debería servir al mismo tiempo para aumentar la sensibilización en el ámbito de la protección de los datos personales.

    1.3. El CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser discrecional y gratuito. No obstante, la introducción de nuevas soluciones digitales implica necesariamente un tiempo y un gasto considerables. Por ello, el CESE pide a la Comisión Europea que profundice en la evaluación del tiempo necesario para la aplicación real del nuevo Reglamento a fin de no afectar negativamente al mercado y que proporcione un análisis más detallado y una mayor claridad en el Reglamento respecto a los costes previstos de su aplicación.

    1.4. El CESE observa que la sección 9 del Reglamento propuesto prevé el reconocimiento transfronterizo obligatorio de las declaraciones electrónicas de atributos cualificadas emitidas en un Estado miembro. Sin embargo, teniendo en cuenta que las disposiciones del Derecho interno varían a menudo considerablemente entre los Estados miembros, el CESE reconoce la necesidad de aclarar que el reconocimiento de una declaración electrónica de atributos cualificada en un Estado miembro se limita a la confirmación de los hechos, de manera análoga a lo establecido en el apartado 4 del artículo 2 del Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea (Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 200 de 26.7.2016, p. 1) ): «El presente Reglamento no se aplica al reconocimiento en un Estado miembro de los efectos jurídicos relativos al contenido de los documentos públicos expedidos por las autoridades de otro Estado miembro».

    1.5. Desde el punto de vista del CESE, la protección efectiva de los datos debe examinarse especialmente en el contexto de la protección de los derechos fundamentales, en particular el derecho a la intimidad y el derecho a la protección de los datos personales. El CESE respalda por ello plenamente el requisito de que el marco para una identidad digital europea proporcione a los usuarios los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente. El CESE invita a la Comisión y a los Estados miembros a que incluyan en las consultas sobre los aspectos técnicos del marco para una identidad digital europea la creación de un registro que permita a los usuarios rastrear cualquier acceso a sus datos.

    1.6. El CESE desea destacar las preocupaciones en materia de seguridad relacionadas con el proceso de digitalización, en particular las referidas al desarrollo de los enormes sistemas que almacenan y procesan datos vulnerables al fraude y la pérdida. El CESE también es consciente de que actualmente no existe ningún sistema de seguridad capaz de ofrecer una protección completa de los datos. Así pues, el CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos (por ejemplo, el robo o la divulgación de estos). Esta garantía debe ser independiente de que exista o no culpa del proveedor.
  2. Introducción

    2.1. El objeto del presente Dictamen es la propuesta de Reglamento de la CE por el que se modifica el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73) ) («Reglamento eIDAS») en lo que respecta al establecimiento de un marco para una identidad digital europea.

    2.2. Como se señala en la exposición de motivos, el Reglamento eIDAS proporcionaría las siguientes protecciones y beneficios: 1) acceso a soluciones de identidad electrónica altamente seguras y fiables; 2) la garantía de que los servicios públicos y privados puedan apoyarse en soluciones de identidad digital fiables y seguras; 3) la garantía de que las personas físicas y jurídicas puedan utilizar soluciones de identidad digital; 4) la seguridad de que dichas soluciones presenten un conjunto de atributos y permitan el intercambio selectivo de datos de identidad, y de que dichos datos se limiten a las necesidades del servicio específico solicitado; y 5) la garantía de la aceptación de los servicios de confianza en la Unión Europea y de la igualdad de condiciones para su prestación. Las modificaciones propuestas responden al aumento de la demanda de soluciones digitales transfronterizas fiables que satisfagan la necesidad de identificar y autenticar a los usuarios con un elevado nivel de garantía.
  1. Observaciones generales

    3.1. El CESE es consciente de las nuevas demandas del mercado interior en cuanto al desarrollo de servicios electrónicos de identificación y confianza para las transacciones electrónicas transfronterizas. Las soluciones existentes previstas en el Reglamento eIDAS, que empezaron a surtir efectos jurídicos en varias fases a partir de julio de 2016, no satisfacen dichas demandas, lo que se confirma por el hecho de que, en este momento, solo el 59 % de los residentes en la UE tengan acceso a soluciones seguras y fiables de identidad electrónica. Además, el acceso transfronterizo a estos servicios resulta limitado por la falta de interoperabilidad entre los sistemas que ofrecen los distintos Estados miembros.

    3.2. Por ello, el CESE acoge con satisfacción la nueva propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad digital europea, propuesta que
    adaptaría dicho acto jurídico a las necesidades actuales del mercado. Se calcula que las soluciones propuestas en el documento de la Comisión podrían contribuir a aumentar el número de usuarios de la identidad digital hasta el 80 % o incluso el 100 % de todos los ciudadanos y residentes de la UE.

    3.3. El CESE acoge con especial satisfacción las soluciones destinadas a aumentar la seguridad de los datos personales de los usuarios garantizando la discrecionalidad de compartir o no dichos datos y la posibilidad de controlar la naturaleza y la cantidad de datos facilitados a las partes usuarias. Según la propuesta, los Estados miembros mantendrán el control sobre los proveedores de servicios digitales, por lo que garantizarían que los conjuntos de datos sensibles (por ejemplo, relacionados con la salud, la religión y las creencias, las opiniones políticas o el origen racial o étnico) solo sean facilitados por los proveedores de servicios, cuando se les solicite, tras una decisión informada adoptada por el titular de la identidad de conformidad con la legislación nacional aplicable.

    3.4. El CESE señala que el calendario para la aplicación de determinadas disposiciones del nuevo Reglamento es bastante optimista e invita a la Comisión Europea a que, al establecer los plazos de aplicación definitivos, también tenga en cuenta el tiempo necesario para que los proveedores de servicios mejoren sus sistemas informáticos para cumplir las nuevas obligaciones. Por consiguiente, el CESE pide a la Comisión que analice en más profundidad el tiempo necesario para la aplicación real del nuevo Reglamento y, en consecuencia, amplíe el plazo de aplicación a fin de no afectar al mercado pertinente. Por ejemplo, la entrada en vigor del Reglamento obligará a que los actuales proveedores cualificados de servicios de confianza que ofrezcan la posibilidad de firma a distancia basada en dispositivos cualificados de creación de firmas electrónicas se conviertan en proveedores cualificados para ese servicio específico; estos proveedores necesitarán tiempo tanto para poner en práctica los aspectos técnicos como para completar el procedimiento de autorización.

    3.5. El CESE señala que, independientemente de sus beneficios, la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y personas con discapacidad. El CESE reconoce el papel esencial de la educación de la ciudadanía europea para combatir dicha exclusión; al mismo tiempo, dicha educación debe servir para aumentar la sensibilización en el ámbito de la protección de los datos personales.
  1. Disponibilidad de un marco para una identidad digital europea y discrecionalidad de su uso

    4.1. El CESE acoge favorablemente la idea de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso no solo a los servicios públicos, sino también al sector privado. Por otra parte, el CESE está de acuerdo con los intentos de la Comisión Europea de poner un marco para una identidad digital europea a disposición de la inmensa mayoría de los ciudadanos europeos. Debido a los obstáculos que existen para el acceso transfronterizo a los servicios de identidad electrónica (por ejemplo, la falta de interoperabilidad entre los sistemas de identidad electrónica desarrollados por los Estados miembros), muchos residentes de la UE no los utilizan en absoluto. Las nuevas soluciones basadas en las carteras de identidad digital europea pueden contribuir a que al menos el 80 % de los europeos dispongan de servicios en línea fiables.

    4.2. Por tanto, el CESE respalda la propuesta de requerir que los Estados miembros emitan una cartera de identidad europea, un instrumento que permitiría a los usuarios: 1) solicitar y obtener, almacenar, seleccionar, combinar y compartir de forma segura, transparente y rastreable por el usuario, los datos de identificación de persona jurídica y la declaración electrónica de atributos que sean necesarios para autenticarse en línea y fuera de línea con el fin de acceder a servicios públicos y privados en línea; y 2) firmar por medio de firmas electrónicas cualificadas.

    4.3. Además, el CESE acoge favorablemente la propuesta de garantizar que la cartera de identidad digital europea sea igualmente accesible para las personas con discapacidad de conformidad con las disposiciones del anexo I de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70) ), en consonancia con el principio de no discriminación de la UE establecido en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea. Con el fin de evitar la exclusión digital en ese ámbito, el CESE propone que todas las soluciones se desarrollen en cooperación con las instituciones competentes y las ONG para personas con discapacidad, aplicando un enfoque basado en la participación de múltiples partes interesadas.

    4.4. Desde el punto de vista del CESE, el hecho de que el uso de una cartera de identidad digital europea sea discrecional para los ciudadanos y residentes también es un aspecto positivo. El CESE considera que los usuarios no deberían estar obligados a utilizar dicha cartera para acceder a servicios privados o públicos, sino simplemente tener la posibilidad de hacerlo.

    4.5. Desde el punto de vista de la asequibilidad, el CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser gratuito para los usuarios. No obstante, el CESE pide a la Comisión Europea que analice y aclare más detalladamente en el Reglamento los siguientes aspectos: i) el coste de emisión para las personas físicas, ii) los costes (de emisión y uso) para las entidades jurídicas y iii) los costes de añadir atributos de identidad digital a dicha cartera, ya que el CESE considera que cada una de estas adiciones representaría un servicio de confianza, por lo que conllevaría costes para el propietario de la cartera.
  2. Aspectos relativos a la facilidad de uso de un marco para una identidad digital europea

    5.1. El CESE acoge con satisfacción la iniciativa de la Comisión Europea de mejorar la facilidad de uso de los medios de identificación electrónica mediante la creación de un marco común para una identidad digital europea basado en la confianza transfronteriza en las carteras de identidad digital europea.

    5.2. Según la propuesta, la facilidad de uso puede mejorarse con los medios previstos en el nuevo artículo 12 ter del Reglamento eIDAS. Dicho artículo contiene una serie de requisitos relativos al reconocimiento de las carteras de identidad digital europea, dirigidos no solo a los Estados miembros sino también a las partes usuarias privadas prestadoras de servicios y a las «plataformas en línea de muy gran tamaño», definidas en el artículo 25, apartado 1, de la Ley de Servicios Digitales propuesta (Propuesta de Reglamento relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE – COM (2020) 825 final). Sobre la base de estas nuevas disposiciones, algunos sectores privados (transporte, energía, servicios bancarios y financieros, seguridad social, salud, agua potable, servicios postales, infraestructuras digitales, educación y telecomunicaciones) deberán aceptar el uso de carteras de identidad digital europea para la prestación de servicios en los casos en que la legislación nacional o de la UE o las obligaciones contractuales exijan una autenticación reforzada del usuario para la identificación en línea. Según la propuesta de la Comisión, este mismo requisito se aplicaría a las plataformas en línea de muy gran tamaño (por ejemplo, las redes sociales), las cuales deberían aceptar el uso de carteras de identidad digital europea en relación con los atributos mínimos necesarios para un servicio en línea determinado para el que se solicite autenticación, como la acreditación de la edad.

    5.3. El CESE señala que, para garantizar la disponibilidad generalizada y facilidad de uso de los medios de identificación electrónica, incluidas las carteras de identidad digital europea, los proveedores privados de servicios en línea (que no sean considerados «plataformas de muy gran tamaño») deberían participar en el desarrollo de «códigos de conducta» de autorregulación que faciliten una amplia aceptación de los medios de identificación electrónica. La Comisión Europea debe ser la encargada de evaluar la eficacia y facilidad de uso de dichas disposiciones para los usuarios de carteras de identidad digital europea.
  1. Cuestiones relativas a los efectos jurídicos de las carteras de identidad digital europea

    6.1. El CESE respalda la propuesta en lo que se refiere a la mejora del acceso a los servicios públicos digitales, en particular en situaciones transfronterizas.

    6.2. La nueva sección 9 propuesta del Reglamento eIDAS establece que una declaración electrónica de atributos cualificada emitida en un Estado miembro debe reconocerse como declaración electrónica de atributos cualificada en cualquier otro Estado miembro.

    6.3. Sin embargo, por lo que se refiere al Derecho interno de los Estados miembros, que en algunos casos puede diferir significativamente de un Estado a otro, el CESE señala que los atributos cotejados con fuentes auténticas en un Estado miembro deben limitarse únicamente a la confirmación de circunstancias de hecho y no deben producir efectos jurídicos en otros Estados miembros, a menos que los atributos en cuestión se ajusten a su legislación nacional. En esencia, las soluciones jurídicas propuestas no deben afectar al reconocimiento en un Estado miembro de efectos jurídicos relacionados con el contenido de atributos cotejados con fuentes auténticas en otro Estado miembro, por analogía con lo dispuesto en el Reglamento (UE) 2016/1191. Un ejemplo de ello pueden ser determinados datos personales (relativos a la religión o las creencias de una persona). En algunos países de la UE, este tipo de información surte efectos jurídicos (por ejemplo, en Alemania, los datos del registro civil incluyen información sobre la religión, que determina la obligación de pagar un impuesto eclesiástico para casarse por ceremonia religiosa), mientras que en otros países (como Polonia) carece de tales efectos.

    6.4. Por consiguiente, el CESE invita a la Comisión Europea a que considere la posibilidad de aclarar el texto de la sección 9 a fin de dejar claro que el reconocimiento en cualquier otro Estado miembro de una declaración electrónica de atributos cualificada se limita a la confirmación de las circunstancias de hecho relacionadas con el atributo en cuestión y no produce efectos jurídicos en otros Estados miembros a menos que los atributos declarados se ajusten a su legislación nacional.
  2. Aspectos de seguridad

    A. Protección de datos en el contexto de los derechos fundamentales


    7.1. El CESE observa que, debido a la falta de un marco común para una identidad digital europea, en la mayoría de los casos los ciudadanos y otros residentes se enfrentan a obstáculos para el intercambio digital transfronterizo de información relacionada con su identidad, así como para intercambiar dicha información de forma segura y con un nivel elevado de protección de datos.

    7.2. El CESE acoge por ello positivamente los intentos de crear un sistema interoperable y seguro basado en carteras de identidad electrónica europea, que podría mejorar el intercambio de información entre los Estados miembros en relación con las situaciones laborales o los derechos sociales, entre otras cuestiones. En este contexto, el CESE espera que el nuevo marco para una identidad digital europea genere, por ejemplo, posibilidades de aumentar rápidamente las oportunidades de empleo transfronterizo y de ampliar la concesión automática de derechos sociales sin procedimientos de solicitud u otros esfuerzos administrativos adicionales.

    7.3. Sin embargo, desde el punto de vista del CESE, la protección efectiva de los datos es la principal preocupación que debe abordarse en el contexto de la protección de los derechos fundamentales, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales.

    7.4. Por lo tanto, el CESE apoya plenamente el requisito de que el marco para una identidad digital europea proporcione a todas las personas los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente (también en relación con el acceso desde el sector público). Como se indica en la propuesta, esto requerirá asimismo un nivel alto de seguridad en todos los aspectos de la provisión de la identidad digital, incluida la expedición de una cartera de identidad digital europea, y la infraestructura necesaria para la recopilación, el almacenamiento y la divulgación de datos de identidad digital.

    7.5. En este contexto, el CESE acoge favorablemente la propuesta de que los usuarios tengan derecho a revelar de forma selectiva sus atributos, limitándolos a los que sean necesarios en una situación determinada. En virtud de la propuesta, al utilizar la cartera de identidad digital europea el usuario podrá controlar la cantidad de datos que proporciona a terceros, y deberá ser informado de los atributos requeridos para la prestación de un determinado servicio.

    7.6. El CESE apoya la propuesta de separar física y lógicamente los datos personales relacionados con la provisión de carteras de identidad digital europea de cualquier otro dato almacenado por los emisores de dichas carteras, y respalda el requisito de que los proveedores de servicios cualificados de declaración electrónica de atributos deban constituir una entidad jurídica separada.

    7.7. Además de la necesidad de garantizar una protección eficaz de los datos, resulta esencial que los usuarios tengan control sobre sus datos. En ese sentido, el CESE también respaldaría la creación de un marco para una identidad digital europea basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados.

    7.8. El CESE subraya que, para garantizar un elevado nivel de protección jurídica de sus datos, los usuarios deberían tener un mayor control sobre las carteras de identidad de datos europea, en particular mediante la rastreabilidad del acceso a los datos de cada usuario. A tal fin, los aspectos técnicos —que se determinarán durante los debates posteriores a la aprobación de la propuesta— deben incluir la creación de un registro que permita al usuario verificar, previa solicitud, cualquier acceso a sus datos que se produzca.

    B. Otros aspectos relacionados con la seguridad y la responsabilidad

    7.9. De acuerdo con la propuesta, el nuevo marco para una identidad digital europea proporcionará mecanismos para prevenir el fraude y garantizar la autenticación de los datos de identificación personal. La propuesta incluye una disposición que introduce medios que permiten el cotejo de los atributos con fuentes auténticas: esto podría mejorar, por ejemplo, la seguridad en línea de los niños y niñas impidiéndoles acceder a contenidos inadecuados para su edad. El CESE señala que, a nivel nacional, tal protección no existe actualmente o es muy ineficaz.

    7.10. El CESE acoge con satisfacción la idea de que los navegadores web deban garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web previstos en el Reglamento eIDAS. A tal efecto, deben reconocer y mostrar certificados cualificados para la autenticación de sitios web con objeto de ofrecer un nivel alto de seguridad, lo que permitiría a los propietarios de los sitios web demostrar su identidad como propietarios de un sitio web y a los usuarios identificar a los propietarios de los sitios web con un alto grado de certeza. Al mismo tiempo, el CESE considera necesario proporcionar mecanismos de recurso sencillos, rápidos y eficaces para garantizar el desbloqueo de los sitios web que hayan sido marcados indebidamente como peligrosos. También deben establecerse normas en materia de responsabilidad en relación con todos los casos en que un sitio web sea calificado incorrectamente como peligroso.

    7.11. El CESE desea destacar que toda digitalización de datos plantea problemas de seguridad, especialmente por lo que se refiere a los enormes sistemas de almacenamiento y procesamiento de datos, que constituyen una fuente de información vulnerable al fraude y la pérdida. El CESE también es consciente de que hoy por hoy no existe un sistema de seguridad plenamente eficaz (es decir, sin lagunas ni errores) capaz de eliminar por completo esta amenaza.

    7.12. Señala por ello que, para minimizar todas estas situaciones indeseables relacionadas con los datos de los usuarios, la arquitectura técnica del marco para una identidad digital europea desarrollado por los Estados miembros en coordinación con la Comisión debería centrarse en medidas que aumenten la seguridad de los datos y proporcionen mecanismos de control de los datos. Estos mecanismos son importantes, por ejemplo, en contextos en los que los datos recabados de los usuarios se utilicen para fines distintos de los previstos inicialmente. Al mismo tiempo, el CESE considera que la arquitectura técnica debe desarrollarse respetando los derechos fundamentales y el principio de soberanía de los Estados miembros.

    7.13. El CESE constata que el artículo 13, apartado 1, del Reglamento eIDAS establece que los proveedores de servicios de confianza serán responsables por los daños causados de forma intencionada o por negligencia a cualquier persona física o jurídica como consecuencia del incumplimiento de las obligaciones derivadas de dicho Reglamento (y de las obligaciones de gestión de los riesgos para la ciberseguridad contempladas en el artículo 18 de la Directiva SRI2 propuesta, según se establece en la propuesta de la Comisión). Esta disposición debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad (artículo 13, apartado 3).

    7.14. En el contexto de las preocupaciones relativas a la responsabilidad, el CESE desea señalar que las cuestiones relacionadas con la definición de los daños, su cuantía y la indemnización correspondiente están reguladas por el Derecho interno de los Estados miembros. La responsabilidad de los proveedores de servicios de confianza puede verse limitada en virtud de las disposiciones pertinentes del Derecho interno y de las «políticas de prestación de servicios», que son definidas por los proveedores.

    7.15. El CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos, entre otras el robo, pérdida o divulgación de datos o el uso de estos para fines distintos de los previstos originalmente. Esta obligación debe incluir todas las situaciones mencionadas, independientemente de que exista o no culpa del proveedor (por dolo o negligencia).

    7.16. Cualquier robo, divulgación no autorizada o pérdida de datos (especialmente datos personales) puede causar un daño a largo plazo a su propietario. Una vez difundida la información digital, muchas entidades pueden hacerse con ella a lo largo del tiempo en contra de la voluntad de su propietario. El CESE anima a la Comisión y a los Estados miembros a que busquen y desarrollen mecanismos eficaces que amparen a los propietarios de los datos en tales casos.

    7.17. Las soluciones propuestas del nuevo sistema obligarán a los proveedores de servicios a mejorar significativamente sus sistemas de seguridad electrónica a un nivel mucho más elevado, prestando especial atención a la ciberseguridad. El CESE prevé que esto conlleve costes significativos y una modernización de la infraestructura informática actual y pueda suponer una carga excesiva para algunos proveedores de servicios, que podría incluso dar lugar a la desaparición, en algunos mercados, de los proveedores de servicios que no puedan permitirse tales inversiones en un breve período de tiempo. Por lo tanto, el CESE considera que la Comisión y los Estados miembros deberían buscar soluciones que protejan a los proveedores frente a la discriminación en este ámbito y permitan un «aterrizaje suave» en ese sentido, en particular ofreciendo la posibilidad de garantizar el cumplimiento de los nuevos requisitos en varias fases, dentro de un plazo razonable.


Bruselas, 20 de octubre de 2021
La Presidenta
del Comité Económico y Social Europeo
Christa SCHWENG

Verificación de la organización en EPREL mediante certificados electrónicos cualificados de persona jurídica para sello electrónico


En este blog he ido informando sobre varios aspectos relativos a la inscripción de empresas fabricantes o distribuidoras de aparatos eléctricos en la base de datos EPREL (European Product Registry on Energy Labelling, Registro europeo de productos para el etiquetado energético), en uno de cuyos pasos es necesario utilizar certificados electrónicos cualificados de persona jurídica para sello electrónico, expedidos por un Prestador Cualificado de Servicios Electrónico de Confianza, como, por ejemplo, EADTrust.

Estos son los artículos anteriores:

En el artículo de hoy, me centraré en la fase de «Verificación de la organización».

El Proceso de Verificación de Suministradores, tiene como objetivo garantizar que la información publicada respecto a la empresa es genuina y proviene de fuentes fiables. En el momento actual (marzo de 2022) todavía no está disponible la opción de hacer constar personas físicas como suministradores y titulares del etiquetado energético, por lo que en el campo «tipo de organización» del formulario» se indicará «Legal Person«.

El proceso de verificación es un paso clave para determinar los suministradores que pueden registrar productos en la Plataforma EPREL, lo que se extiende a diferentes proveedores más allá de los radicados en Unión Europea, el Espacio Económico Europeo e Irlanda del Norte. El proceso de verificación también evita que un suministrador pueda hacerse pasar por otro. Por último, confirma la representación del usuario que se ha dado de alta siguiendo los pasos descritos en artículos anteriores de este blog ( Supplier Admin), de forma que queda acreditado que puede actuar en nombre de la entidad que figura en el certificado electrónico que se usa para este paso de verificación.

La plataforma EPREL ofrece, desde febrero de 2022, un proceso de verificación electrónica basado en la comprobación de los sellos electrónicos cualificados, realizados con certificados electrónicos cualificados de persona jurídica expedidos por Prestadores de Servicios Electrónicos de Confianza Cualificados, como es el caso de EADTrust (entidad con la que se puede contactar desde España llamando al 902 365 612 o 917160555).

Para que la verificación no dé problemas, en el caso de empresas españolas, deberán asegurarse de hacer constar en el campo del formulario correspondiente a la Identificación de la Organización (Organisation Identifier) el número del CIF de la entidad, con su letra, ya que es el dato que figura en el certificado cualificado. La denominación también deberá coincidir con la que consta en el certificado, así como el país. (OJO, el ejemplo indicado en la documentación en PDF de EPREL, basado en un número de registro mercantil no es correcto, por ejemplo, NTRES-ES28065.080862918, en su lugar se emplea el CIF: VATES-B85626240)

En caso de que se use un certificado cualificado de persona jurídica de EADTrust, este certificado se recibe encapsulado en un dispositivo eToken 5110CC de Gemalto/Safenet/Thales basado en el chip criptográfico IDPrime 940.

La verificación electrónica en la Plataforma EPREL es un método de verificación rápido, en el que los suministradores de aparatos y componentes reciben la confirmación de su verificación en cuestión de minutos desde que aportan el PDF de verificación (Expediente de Verificación) sellado electrónicamente.

Para ello, se accede primero a la opción correspondiente del menú

A continuación se solicita el fichero de verificación

Una vez solicitado el fichero, el servidor lo crea incluyendo los datos de la organización y lo sella con el certificado de la comisión europea, lo que puede tardar unos minutos.

Finalmente el fichero se puede descargar

Ese es el fichero que hay que sellar con el certificado cualificado de entidad. Para ello se puede usar el software Adobe Reader DC, que incluye la posibilidad de realizar firmas electrónicas. Técnicamente, firmar o sellar electrónicamente es similar. La diferencia está en que las «Personas Físicas» firman electrónicamente y las «Personas Jurídicas» sellan electrónicamente los documentos electrónicos.

Una vez que se haya subido a la Plataforma EPREL el PDF de verificación sellado electrónicamente, se recibe la confirmación de la verificación (o la información de que no se ha logrado realizarla) en unos momentos. En caso de no lograrse la verificación, la plataforma EPREL indica la razón que explica por qué ha fallado.

Con esa información del fallo se pueden corregir los datos consignados en la plataforma y generar de nuevo el archivo de verificación para su sellado electrónico.

Productos que se registran en la Plataforma EPREL:

  1. Calentadores locales
  2. Campanas extractoras
  3. Hornos domésticos
  4. Armarios frigoríficos profesionales
  5. Unidades de ventilación residenciales
  6. Calderas de combustible sólido
  7. Paquetes de una caldera de combustible sólido, calentadores suplementarios, controles de temperatura y dispositivos solares
  8. Acondicionadores de aire
  9. Secadoras de ropa domésticas
  10. Calentadores de agua
  11. Paquetes de calentador de agua y dispositivo solar
  12. Dispositivos solares
  13. Acumuladores de agua caliente
  14. 1Calentadores de espacios/calentadores combinados
  15. Dispositivo solar
  16. Control de la temperatura
  17. Paquetes de calentador de espacio, control de temperatura y dispositivo solar dispositivo/paquetes de calentador combinado, control de temperatura y dispositivo solar
  18. Pantallas electrónicas
  19. Lavadoras-secadoras domésticas
  20. Lavadoras domésticas
  21. Fuentes de luz
  22. Aparatos de refrigeración
  23. Lavavajillas domésticos
  24. Aparatos frigoríficos con función de venta directa
  25. Neumáticos

Toca renovar los certificados DSC de los organismos sanitarios que sellan el pasaporte COVID digital


Tras la evolución de la pandemia por el virus SARS-CoV-2 se plantean ciertos retos respecto a su gestión futura en función de las variantes de la enfermedad COVID-19 y del nivel de vacunación de la sociedad.

Uno de los retos será la forma de gestionar el pasaporte COVID digital.

Ejemplo de pasaporte COVID

En la Decisión de Ejecución (UE) 2021/1073 de la Comisión de 28 de junio de 2021 por la que se establecen especificaciones técnicas y normas relativas a la aplicación del marco de confianza para el certificado COVID digital de la UE (disponible en la URL: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32021D1073  ) se recoge en el Anexo 4 el período de validez recomendado de los certificados electrónicos DSC expedidos a las autoridades sanitarias y el tiempo (más corto) en el que se recomienda el empleo de la clave privada asociada, de forma que la validez del certificado COVID esté siempre dentro del margen del período de validez del certificado electrónico.

Dentro del anexo citado, el apartado «4.2.   Autoridades de certificación, períodos de validez y renovación» indica:

(…) Se recomiendan los siguientes períodos de validez, dado que la validez de los certificados COVID digitales es de un año:

(…)

— DSC: 2 años

(…) Para una renovación oportuna, se recomiendan los siguientes períodos de uso de las claves privadas:

—  DSC: 6 meses

(…)   

Es decir, se recomienda que el DSC (el certificado de sello de órgano con el que se firman los pasaportes COVID) tenga una validez de 2 años y que solo se use la clave privada asociada durante 6 meses. Una renovación de las claves privadas implica la emisión de un nuevo certificado.

Se pueden ver todos los certificados DSC y CSCA utilizados en relación con el pasaporte COVID en esta URL: https://dgcg.covidbevis.se/tp/ç

Hay que tener en cuenta, además, que a partir del 1 de febrero de 2022, hay nuevas normas que establecen un periodo de aceptación obligatorio de 9 meses para los certificados de vacunación, utilizados para viajar dentro de la UE .

Los Estados miembros deben aceptar los certificados de vacunación durante un periodo de 9 meses a partir de la administración de la última dosis de la vacuna principal. Para la vacuna Johnson&Johnson esto significa 270 días desde la primera y única inyección. En el caso de una vacuna de dos dosis, se trata de 270 días a partir de la segunda inyección o, de acuerdo con la estrategia de vacunación del Estado miembro de vacunación, de la primera y única inyección después de haberse recuperado del virus.

Los Estados miembros no deben establecer un periodo de aceptación diferente a efectos de viajar dentro de la Unión Europea. El periodo de aceptación estándar no se aplica a los certificados de las dosis de refuerzo.

Estas normas se aplican únicamente a los certificados de vacunación utilizados a efectos de viaje en la UE. Los Estados miembros pueden aplicar normas diferentes cuando utilicen el Certificado Digital COVID de la UE en un contexto nacional, pero se les invita a alinearse con el período de aceptación establecido a nivel de la UE.

Una persona que tenga un Certificado Digital COVID de la UE válido no debería, en principio, estar sujeta a restricciones adicionales, como pruebas o cuarentena, independientemente de su lugar de salida en la UE.

Las personas que no dispongan de un certificado digital COVID de la UE deberían poder viajar en función de una prueba realizada antes o después de su llegada. Además, se les puede exigir que se sometan a cuarentena o autoaislamiento cuando lleguen de zonas especialmente afectadas.

Cualquier medida que restrinja la libre circulación debe ser no discriminatoria y proporcionada. En principio, los Estados miembros no deben denegar la entrada a las personas que viajen desde otros Estados miembros.

Volviendo a los certificados DSC, con los que se firman los «certificados COVID digitales» o «Pasaportes COVID», conviene, como se ha dicho, actualizarlos lo antes posible, ya que muchos de ellos se emitieron entre mayo y julio de 2021, y se ha superado el plazo de 6 meses que recomienda la normativa.

EADTrust es la entidad que expide los DSC (los expide como certificados EIDAS de sello de órgano, compatibles con el ENI: Esquema Nacional de Interoperabilidad) de los organismos sanitarios españoles. Se puede contactar con ellos en el +34 917160555

Expedición de certificados cualificados sin comparecencia presencial (a distancia)


El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

  1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
  2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
  3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
  4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

  • Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
  • ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Toolbox: Recomendación (UE) 2021/946 de la Comisión de 3 de junio de 2021 sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea


Pronto se publicarán los primeros resultados del trabajo del grupo de expertos eIDAS en sus actividades para el desarrollo de un conjunto de instrumentos (Toolbox) que respalde la aplicación del Marco para una Identidad Digital Europea y que tiene como uno de sus objetivos el desarrollo de un prototipo de «cartera/wallet» de gestión de identidades y la prueba de concepto. La Recomendación (UE) 2021/946 establece la cooperación de los estados miembros para lograr esos objetivos. A continuación se incluye el texto de la Recomendación (UE) 2021/946 de la Comisión de 3 de junio de 2021.

LA COMISIÓN EUROPEA, Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 292, Considerando lo siguiente:

(1)En tan solo un año, la pandemia de COVID-19 ha cambiado radicalmente el papel y la pertinencia de la digitalización en nuestras sociedades y economías, y ha acelerado su ritmo. En respuesta a la mayor digitalización de los servicios, se ha producido un aumento radical de la demanda por parte de los usuarios y las empresas de medios para identificarse y autenticarse en línea, así como para intercambiar de forma digital información relativa a la identidad, los atributos o las cualificaciones, de forma segura y con un elevado nivel de protección de datos.
(2)El objetivo del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (1) (el «Reglamento eIDAS») es permitir el reconocimiento transfronterizo de la identificación electrónica estatal para acceder a los servicios públicos, así como establecer un mercado de la Unión de servicios de confianza reconocidos a nivel transfronterizo con el mismo estatuto jurídico que los procesos tradicionales en papel equivalentes.
(3)En sus conclusiones de 1 y 2 de octubre de 2020, el Consejo Europeo instó a la Comisión a que presentara una propuesta relativa al desarrollo, a escala de la UE, de un marco para la identificación electrónica pública segura, en particular de las firmas digitales interoperables, de modo que las personas puedan tener el control de su identidad y sus datos en línea y se facilite el acceso a los servicios digitales públicos, privados y transfronterizos.
(4)La Comunicación de la Comisión «Brújula Digital 2030: el enfoque de Europa para el Decenio Digital» (2) establece el objetivo de que, de aquí a 2030, la Unión y sus ciudadanos deberían beneficiarse de un amplio despliegue de una identidad fiable y controlada por el usuario, lo que permitiría a cada usuario controlar sus propias interacciones y su presencia en línea.
(5)La Comisión adoptó una propuesta para modificar el Reglamento eIDAS (3). En ella se propone un Marco para una Identidad Digital Europea que ofrezca a los usuarios unas carteras digitales personales autodeterminadas que faciliten un acceso fácil y seguro a los distintos servicios, tanto públicos como privados, bajo su control total. Asimismo, la propuesta crea un nuevo servicio de confianza cualificado para la declaración de atributos que conciernen a información relativa a la identidad, como direcciones, edad, género, estado civil, composición familiar, nacionalidad, cualificaciones y títulos educativos y profesionales, licencias, otros permisos y datos de pago, los cuales pueden ofrecerse, compartirse e intercambiarse a nivel transfronterizo, en condiciones de total seguridad y protección de datos y con efectos jurídicos a través de las fronteras.
(6)Habida cuenta de la aceleración de la digitalización, los Estados miembros han implantado o están desarrollando sistemas nacionales de identidad electrónica que incluyen carteras digitales y marcos de confianza nacionales destinados a la integración de atributos y credenciales. Asimismo, agentes del sector privado están preparando o implantando otras soluciones.
(7)La creación de soluciones nacionales divergentes genera fragmentación y priva a las personas y a las empresas de los beneficios del mercado único, puesto que no pueden utilizar sistemas de identificación seguros, cómodos y uniformes en toda la Unión para acceder a servicios tanto públicos como privados.
(8)Con el fin de fomentar la competitividad de las empresas europeas, los proveedores de servicios en línea deben poder contar con soluciones de identidad digital reconocidas en toda la Unión, independientemente del Estado miembro en el que se hayan expedido, de tal manera que se beneficien de un enfoque europeo armonizado de la confianza, la seguridad y la interoperabilidad. Tanto los usuarios como los proveedores de servicios deben poder beneficiarse de que se confiera el mismo valor jurídico a las declaraciones electrónicas de atributos válidas en toda la Unión.
(9)Al objeto de evitar la fragmentación y los obstáculos derivados de unas normas divergentes, y de garantizar un proceso coordinado para impedir poner en peligro la aplicación del futuro Marco para una Identidad Digital Europea, se necesita un proceso de cooperación estrecha y estructurada entre la Comisión, los Estados miembros y el sector privado.
(10)Para acelerar la progresión hacia la consecución de este objetivo, los Estados miembros deben reforzar su cooperación y determinar un conjunto de instrumentos destinado a un Marco para una Identidad Digital Europea. El conjunto de instrumentos debe dar lugar a una arquitectura técnica y un marco de referencia, a una serie de normas y referencias técnicas comunes, así como a mejores prácticas y directrices que sirvan de base para la aplicación del Marco para una Identidad Digital Europea. Con el fin de garantizar un enfoque armonizado con respecto a la identidad electrónica de acuerdo con las expectativas de los ciudadanos y las empresas, incluidas las de las personas con discapacidad, la cooperación debe iniciarse de inmediato en paralelo al proceso legislativo y respetándolo plenamente, así como en consonancia con sus resultados.
(11)La presente Recomendación establece un proceso estructurado de cooperación entre los Estados miembros, la Comisión y, cuando proceda, los operadores del sector privado de cara a la elaboración del conjunto de instrumentos.
(12)El conjunto de instrumentos debe abarcar cuatro dimensiones transversales: la facilitación y el intercambio de atributos de identificación, la funcionalidad y la seguridad de las carteras de identidad digital europea, la utilización de la cartera de identidad digital europea, en particular en lo que respecta a la correspondencia de identidades, y la gobernanza. El conjunto de instrumentos debe cumplir los requisitos establecidos en la propuesta relativa a un Marco para una Identidad Digital Europea. Asimismo, debe actualizarse según sea necesario en función de los resultados del proceso legislativo.
(13)Debe haber una colaboración entre los Estados miembros para el intercambio de mejores prácticas y la elaboración de directrices en ámbitos en los que, aunque no se exija la armonización, una aproximación de las prácticas respaldaría la aplicación del Marco para una Identidad Digital Europea por parte de los Estados miembros.
(14)Al grupo de expertos eIDAS se le encomendará el papel de principal interlocutor a efectos de la aplicación de la presente Recomendación.
(15)Ya se han establecido catálogos de atributos y planes de declaración de atributos en otros ámbitos, como es el caso del sistema técnico de «solo una vez» del Reglamento sobre la pasarela digital única u otras iniciativas de intercambio de datos a escala europea. Debe considerarse una armonización y reutilización de estos trabajos para garantizar la interoperabilidad al mismo tiempo que se tienen en cuenta los principios del Marco Europeo de Interoperabilidad.
(16)Las normas y especificaciones técnicas vigentes a escala internacional y europea deben reutilizarse cuando proceda; asimismo, deben ejecutarse los proyectos piloto de referencia y las aplicaciones de prueba del marco de la cartera de identidad digital europea y los componentes relacionados para facilitar la implantación, la incorporación y la interoperabilidad.

HA ADOPTADO LA PRESENTE RECOMENDACIÓN:

1.   OBJETIVOS Y DEFINICIONES

1)Se recomienda que los Estados miembros trabajen para el desarrollo de un conjunto de instrumentos que respalde la aplicación del Marco para una Identidad Digital Europea en estrecha coordinación con la Comisión y, cuando corresponda, con otras partes interesadas del sector público y del privado. En particular, se recomienda a los Estados miembros que trabajen en estrecha colaboración sobre la base de una propuesta de la Comisión para determinar los siguientes elementos como parte del conjunto de instrumentos: a) una arquitectura técnica y un marco de referencia que definan el funcionamiento del Marco para una Identidad Digital Europea de conformidad con el Reglamento eIDAS y teniendo en cuenta la propuesta de la Comisión de un Marco para una Identidad Digital Europea; b) normas y especificaciones técnicas comunes de acuerdo con el punto 3, apartado 2; c) directrices comunes y mejores prácticas en ámbitos en los que la armonización de las prácticas promueva el buen funcionamiento del Marco para una Identidad Digital Europea de acuerdo con el punto 3, apartado 3, de la presente Recomendación.
2)A los efectos de la presente Recomendación, se aplicarán las definiciones establecidas en la propuesta de la Comisión de un Marco para una Identidad Digital Europea.

2.   PROCESO PARA DESARROLLAR UN CONJUNTO DE INSTRUMENTOS

1)Se recomienda que los Estados miembros apliquen la presente Recomendación a través del grupo de expertos eIDAS. Se aplicarán las normas generales de procedimiento de ese grupo de expertos.
2)Se consultará a los organismos de normalización, a las partes interesadas pertinentes del sector público y del privado y a expertos externos, y se les vinculará al proceso según corresponda.
3)Se prevé el siguiente calendario para la aplicación de la presente Recomendación: a) a más tardar en septiembre de 2021: acuerdo sobre el proceso y los procedimientos de trabajo, puesta en marcha del ejercicio de recogida de datos por parte de los Estados miembros y debate sobre la descripción de la arquitectura técnica; b) a más tardar en diciembre de 2021: acuerdo sobre la descripción de la arquitectura técnica; c) a más tardar en junio de 2022: determinación de la arquitectura técnica específica, las normas y referencias, las directrices y las mejores prácticas para: 1) la facilitación y el intercambio de atributos de identificación; 2) la funcionalidad y la seguridad de las carteras de identidad digital europea; 3) la utilización de las carteras de identidad digital europea, en particular en lo que respecta a la correspondencia de identidades; 4) la gobernanza; d) a más tardar el 30 de septiembre de 2022: acuerdo entre los Estados miembros, en estrecha cooperación con la Comisión, sobre el conjunto de instrumentos destinado a la aplicación del Marco para una Identidad Digital Europea, compuesto de una arquitectura técnica integral y un marco de referencia, unas normas y referencias técnicas comunes, así como de directrices y mejores prácticas; e) a más tardar el 30 de octubre de 2022: publicación del conjunto de instrumentos por parte de la Comisión.
4)No obstante lo dispuesto en el punto 4 «Revisión», se recomienda que los Estados miembros y demás partes en cuestión apliquen el conjunto de instrumentos tras su publicación, en forma de aplicaciones de prueba y proyectos piloto de referencia.

3.   COOPERACIÓN A ESCALA DE LA UNIÓN PARA DESARROLLAR UN CONJUNTO DE INSTRUMENTOS QUE RESPALDE LA APLICACIÓN DEL MARCO PARA UNA IDENTIDAD DIGITAL EUROPEA

Contenido del conjunto de instrumentos

1)Con el fin de facilitar la aplicación del Marco para una Identidad Digital Europea, se recomienda a los Estados miembros que cooperen para establecer un conjunto de instrumentos que incluya una arquitectura técnica integral y un marco de referencia, una serie de normas y referencias técnicas comunes, así como una serie de directrices y descripciones de mejores prácticas. El alcance de este conjunto de instrumentos debe abarcar como mínimo todos los aspectos de la funcionalidad de las carteras de identidad digital europea y del servicio de confianza cualificado para la declaración de atributos tal como plantea la propuesta de la Comisión de un Marco para una Identidad Digital Europea. Su contenido debe reflejar y evolucionar de forma paralela a los resultados del debate y del proceso de adopción del Marco para una Identidad Digital Europea.

Normas y referencias técnicas comunes

2)Se recomienda a los Estados miembros que determinen normas y referencias técnicas comunes, en particular en los siguientes ámbitos: funcionalidades para el usuario de las carteras de identidad digital europea, incluida la firma mediante firmas electrónicas cualificadas, interfaces y protocolos, nivel de garantía, notificación de partes usuarias y verificación de su autenticidad, declaración electrónica de atributos, mecanismos para comprobar la validez de las declaraciones electrónicas de atributos y los datos de identificación de las personas asociadas, certificación, publicación de una lista de carteras de identidad digital europea, comunicación de vulneraciones de la seguridad, verificación de identidad y atributos por parte de proveedores de confianza cualificados de declaraciones electrónicas de atributos, correspondencia de identidades, listado mínimo de atributos de fuentes auténticas como direcciones, edad, género, estado civil, composición familiar, nacionalidad, cualificaciones y títulos educativos y profesionales, licencias, otros permisos y datos de pago, catálogos de atributos y planes de declaración de atributos y procedimientos de verificación de declaraciones electrónicas de atributos cualificadas, cooperación y gobernanza.

Directrices, mejores prácticas y cooperación

3)Se recomienda a los Estados miembros que determinen directrices y mejores prácticas, en particular en los siguientes ámbitos: modelos de negocio y estructura de las tasas, verificación de los atributos conforme a fuentes auténticas, especialmente a través de intermediarios designados.

4.   REVISIÓN

Se recomienda a los Estados miembros que cooperen para actualizar los resultados de la presente Recomendación tras la adopción de la propuesta legislativa de un Marco para una Identidad Digital Europea, de manera que reflejen el texto final de la legislación.

Hecho en Bruselas, el 3 de junio de 2021.

Por la Comisión

Thierry BRETON

Miembro de la Comisión


(1)  Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(2)  COM(2021) 118 final.

(3)  COM(2021) 281 final.

Dispositivo cualificado de protección de claves


Llevamos desde 2014, fecha de aprobación de reglamento EIDAS, llamando a las tarjetas chip, a los tokens criptográficos y a los HSM (Hardware Security Module) «Dispositivo cualificado de creación de firma» .

Si nos remontamos a la Directiva 93/1999, la denominación sería «Dispositivo seguro de creación de firma«.

Pero es un error.

Los certificados cualificados (como los demás tipos de certificado) tienen un campo denominado «Key Usage» y en ese campo se indica si el certificado se usará para «firma electrónica» (ContentCommitment) o para «autenticación» (DigitalSignature), por ejemplo, con la opción de autenticación de cliente del protocolo TLS.

Además caben otros usos e, incluso, podrían combinarse, activando estos dos, «ContentCommitment» y «DigitalSignature» simultáneamente.

Desde el punto de vista del alcance de la regulación, ni la Directiva 93/1999, ni el Reglamento 910/2014, han definido de forma expresa la posibilidad de autenticar al titular de los certificados cualificados. Pero esa posibilidad siempre ha estado ahí. Aunque solo se ha considerado la firma electrónica (y, a partir del Reglamento, el sello electrónico) los certificados que incluyen activo el bit «DigitalSignature» en el campo «Key Usage» son certificados de autenticación.

Así lo recogía la norma técnica ETSI TS 102 280 y lo recoge en la actualidad la norma técnica ETSI EN 319 412-2.

Por tanto, si concluimos que los certificados pueden ser de autenticación, y no solo de firma electrónica el hecho de que residan en el mismo dispositivo seguro de protección de claves privadas tanto para un uso como para el otro, debería determinar que el dispositivo se denominara «Dispositivo cualificado de protección de claves» y no «Dispositivo cualificado de creación de firma«

Por cierto, también creo que los bits del «Key Usage» deberían tener denominaciones distintas. Ya hubo un avance cuando quedó obsoleta la denominación «Non repudiation» en diversas normas técnicas y fue sustituida por «Content Commitment«, lo que en verdad significa «firma» porque en la firma el firmante se vincula con el contenido firmado. Pero la vieja denominación «Digital Signature» todavía persiste porque justifica técnicamente que en un protocolo de reto-respuesta, la respuesta se calcula realizando la operación criptográfica de la firma digital sobre el reto. Pero, en realidad esto es un proceso de Autenticación, y llamarlo «Digital Signature» es equívoco para expertos y legos. Los términos adecuados seguramente son «Signature» (en vez de «Content Commitment«) y «Authentication» (en vez de «DigitalSignature«), pero pueden pasar años antes de que estos términos los veamos en la normas técnicas o en la legales.