El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.
La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.
De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).
Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»
Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.
El nuevo ecosistema que hay que desplegar para acoger el futuro mecanismo de Identidad Digital de la Unión Europea tendrá entre sus principales componentes una Cartera Digital (Cartera IDUE. Identidad Digital de la Unión Europea) desde la que se gestionarán certificados de firma electrónica, testimonios digitales de atributos (que podrán ser cualificados y no cualificados) y datos personales.
Los datos que se ceden estarán bajo el control de su titular que en un momento dado podrá retirar el permiso de acceso a sus datos que hubiera otorgado con anterioridad.
En la cartera (o más bien en el ecosistema creado alrededor de la cartera) quedará registrada cada cesión de datos y ¡por fin! existirá un mecanismos para tener constancia de todas las veces en las que se formula el consentimiento para que empresas y entidades hagan uso de nuestros datos, en un contexto en el que el Reglamento General de Protección de Datos da una pauta de nuestros derechos pero no aclara como ejercerlos de manera adecuada.
No necesitaremos una libreta para ir apuntando cada vez que nos piden permiso para tener nuestros datos y junto a la anotación la forma de ejercer frente a la entidad los derechos SOPLAR.
El documento que resume la funcionalidad de la Cartera IDUE y el futuro ecosistema lo ha elaborado el Grupo de Expertos EIDAS creado al efecto cuando se anunció la Propuesta de modificación del Reglamento EIDAS y la versión que existe ahora mismo es la de febrero de 2022. Se denomina «ARF» (European Digital Identity Architecture and Reference Framework – Outline).
Se anunció que el 30 de octubre de 2022 se publicaría una nueva versión, pero todavía no se ha publicado.
El Instituto de Robótica y Tecnologías de la Información y la Comunicación (IRTIC) de la Universitat de València (UV) acoge la jornada “Europa Conectada: Claves para la integración digital” el próximo jueves 22 de septiembre a las 9:30 horas.
La entrada al evento, situado en el salón de actos del primer piso del Parc Científic de la Universidad de Valencia por la entrada de la calle Catedrático José Beltrán, 2, en Paterna, es libre y gratuita.
Durante la sesión, se ofrecerán varias ponencias por parte de profesionales del sector centradas en la relación entre las administraciones públicas y los ciudadanos a través de servicios digitales, las claves de futuros proyectos de innovación en el ámbito europeo y el camino seguido por los casos de éxito en convocatorias Connecting Europe Facility (CEF) anteriores.
Con el fin de facilitar el diseño de certificados de asistencia y el coffee break, así como garantizar el aforo, la organización del evento agradece que las personas interesadas en la jornada a rellenen este formulario indicando sus datos de contacto: https://encuestas.uv.es/index.php/952652.
La agenda provisional de la jornada es la siguiente:
FINANCIACIÓN DE ACTIVIDADES DE INNOVACIÓN
09:30 Bienvenida e introducción a la jornada.
09:40 Líneas de financiación europeas. José Vilar, IVACE
10:00 Líneas de financiación regionales y nacionales. Óscar David, Inndrómeda
EUROPA CONECTADA: RETOS ACTUALES Y FUTUROS
10:20 Administración pública digital y ciudadanía. Ernesto Faubel, Ayuntamiento de València
10:40 Identidad digital: Del eIDAS al eIDAS2. Julián Inza, Trust Conformity Assessment Body
11:00 La privacidad del individuo en la Europa digital. Ricard Martínez, Universitat de València
11:20 PAUSA (coffee break)
CASOS DE ÉXITO
11:50 Visión general de proyectos recientes: tendencia a la estandarización de servicios digitales. José Rocha, LMT Group
12:10 Experiencia de entidades en proyectos CEF Digital.
LODRoadTran18 – CEF Open Data. Fernanda Peset, Universitat Politècnica de València
eID4Spain2020 – CEF eIdentification. Teresa Bonet, Ayuntamiento de Torrent.
EUROLogin2020 – CEF eIdentification. Ignacio Sánchez, Universitat de València
12:50 Preguntas y respuestas
13:00 Clausura
La jornada aglutina las actividades de innovación tecnológica alineadas con las prioridades de la Comisión Europea, que en la actualidad está impulsando la denominada «EUDI Wallet» Cartera de identidad digital europea, que se generalizará una vez se apruebe el nuevo Reglamento europeo que modiica el vigente Regamento 910/2014 (EIDAS),
Se puede solicitar más información al IRTI a través de este enlace.
El Parlamento español remitió al Parlamento europeo en octubre de 2021 su primer informe respecto al proceso legislativo relativo a la propuesta de Reglamento siguiente: «Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity»
INFORME 28/2021 DE LA COMISIÓN MIXTA PARA LA UNIÓN EUROPEA, DE 23 DE SEPTIEMBRE DE 2021, SOBRE LA APLICACIÓN DEL PRINCIPIO DE SUBSIDIARIEDAD POR LA PROPUESTA DE REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO POR EL QUE SE MODIFICA EL REGLAMENTO (UE) N.o 910/2014 EN LO QUE RESPECTA AL ESTABLECIMIENTO DE UN MARCO PARA UNA IDENTIDAD DIGITAL EUROPEA [COM (2021) 281 FINAL] [COM (2021) 281 FINAL ANEXO] [2021/0136 (COD)] {SEC (2021) 228 FINAL} {SWD (2021) 124 FINAL}{SWD (2021) 125 FINAL}
ANTECEDENTES
A. El Protocolo sobre la aplicación de los principios de subsidiariedad y proporcionalidad, anejo al Tratado de Lisboa de 2007, en vigor desde el 1 de diciembre de 2009, ha establecido un procedimiento de control por los Parlamentos nacionales del cumplimiento del principio de subsidiariedad por las iniciativas legislativas europeas. Dicho Protocolo ha sido desarrollado en España por la Ley 24/2009, de 22 de diciembre, de modificación de la Ley 8/1994, de 19 de mayo. En particular, los nuevos artículos 3 j), 5 y 6 de la Ley 8/1994 constituyen el fundamento jurídico de este informe.
B. La Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.0 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, ha sido aprobada por la Comisión Europea y remitida a los Parlamentos nacionales, los cuales disponen de un plazo de ocho semanas para verificar el control de subsidiariedad de la iniciativa, plazo que concluye el 4 de octubre de 2021.
C. La Mesa y los Portavoces de la Comisión Mixta para la Unión Europea, el 14 de septiembre de 2021, adoptaron el acuerdo de proceder a realizar el examen de la iniciativa legislativa europea indicada, designando como ponente al Diputado D. José María Sánchez García (GVOX), y solicitando al Gobierno el informe previsto en el artículo 3 j) de la Ley 8/1994.
D. Se ha recibido informe del Gobierno en el que se manifiesta la conformidad de la iniciativa con el principio de subsidiariedad. Asimismo, se han recibido informes del Parlamento Vasco y del Parlamento de Cantabria comunicando el archivo de expediente o la no emisión de dictamen motivado.
E. La Comisión Mixta para la Unión Europea, en su sesión celebrada el 23 de septiembre de 2021, aprobó el presente
INFORME
1.- El artículo 5.1 del Tratado de la Unión Europea señala que «el ejercicio de las competencias de la Unión se rige por los principios de subsidiariedad y proporcionalidad’. De acuerdo con el artículo 5.3 del mismo Tratado, «en virtud del principio de subsidiariedad la Unión intervendrá sólo en caso de que, y en la medida en que, los objetivos de la acción pretendida no puedan ser alcanzados de manera suficiente por los Estados miembros, ni a nivel central ni a nivel regional y local, sino que puedan alcanzarse mejor, debido a la dimensión o a los efectos de la acción pretendida, a escala de la Unión«.
2.- La Propuesta legislativa analizada se basa en el artículo 114 del Tratado de Funcionamiento de la Unión Europea, que establece lo siguiente:
«Artículo 114
1. Salvo que los Tratados dispongan otra cosa, se aplicarán las disposiciones siguientes para la consecución de los objetivos enunciados en el artículo 26. El Parlamento Europeo y el Consejo, con arreglo al procedimiento legislativo ordinario y previa consulta al Comité Económico y Social, adoptarán las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior. ( …. ) 10. Las medidas de armonización anteriormente mencionadas incluirán, en los casos apropiados, una cláusula de salvaguardia que autorice a los Estados miembros a adoptar, por uno o varios de los motivos no económicos indicados en el artículo 36, medidas provisionales sometidas a un procedimiento de control de la Unión.»
3.- La Propuesta de Reglamento sobre la que se informa lo es de modificación del Reglamento (UE) n.0 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
Luego la materia es relativa al mercado interior por lo que dicha materia es de competencia compartida entre la Unión y los Estados miembros (art.4.2.a) del Tratado de Funcionamiento de la Unión Europea.
Por consiguiente, debe ser examinada la conformidad de la Propuesta de Reglamento analizada con el principio de subsidiariedad.
La Propuesta de Reglamento sobre la que se informa se ordena a la armonización en la prestación de servicios de confianza, así como de la seguridad, tanto para los ciudadanos que utilicen una identidad digital europea con fines de representación en línea como para los proveedores de servicios en línea, de modo tal que puedan confiar plenamente en las soluciones de identidad digital y aceptarlas con independencia de dónde se hayan expedido.
Dicha armonización o aproximación de legislaciones (de los Estados miembros) – tal y como la denomina el capítulo 3 del Título VII del Tratado de Funcionamiento de la Unión Europea- es de suyo subsidiaria toda vez que es difícil concebir la armonización general de todas las legislaciones nacionales de los Estados miembros por otro sujeto que no sea la propia Unión Europea, si nos atenemos al concepto de subsidiariedad ex artículo 5.3 del Tratado citado, con la salvedad de que el contenido objetivo de la Propuesta de Reglamento analizada no fuese propiamente armonizador. No parece verificarse esta hipótesis de excepción.
Cumple censurar, no obstante y por último, el tenor hermético y de perfiles cuasi esotéricos de la exposición de motivos recibida, que precede a la Propuesta de Reglamento, cuando se afirma en ella lo siguiente: «ofrece un instrumento adecuado para establecer la estructura de interoperabilidad necesaria para la creación de un ecosistema de identidad digital a escala de la UE basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados«.
Además, incurre dicho texto en una petición de principio al justificar la proporcionalidad, sabido que la Propuesta de Reglamento es armonizadora, así: «Supone una contribución clara al objetivo de mejorar el mercado único digital a través de un marco jurídico más armonizado«.
CONCLUSIÓN
Por los motivos expuestos, la Comisión Mixta para la Unión Europea entiende que la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.• 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, es conforme al principio de subsidiariedad establecido en el vigente Tratado de la Unión Europea.
Ayer, 17 de agosto de 2022 se cerró la licitación para optar a desarrollar los proyectos piloto a gran escala (LSP, Large-Scale Pilots) para implantar los prototipos de carteras de identidad digital que son la base de uno de los mayores cambios previstos con la modificación del Reglamento UE 910/2014 (EIDAS) que se está preparando tras la publicación el año pasado de la propuesta inicial de modificación del Reglamento EIDAS y que, de momento, estamos denominando «EIDAS2«. Se trata de la Licitación de pilotos a gran escala para el Marco Europeo de Identidad Digital de la Comisión Europea (Tender for Large Scale Pilots for European Digital Identity Framework).
Joerg Lenz ha difundido en LinkedIn un interesante resumen sobre los consorcios identificados para desarrollar este tipo de proyectos, y merece la pena recogerlo aquí. en español, para general conocimiento.
Algunos consorcios de empresas y organizaciones gubernamentales que mostraron interés en participar en estos pilotos han creado páginas web para describir el enfoque de su participación.
Se espera que en octubre o noviembre de 2022 se comunique oficialmente la información sobre los consorcios que se han presentado a la convocatoria y los que se han seleccionado. Podría haber más que los aquí recogidos.
Los consorcios que se han identificado son los siguientes:
POTENTIAL aborda seis casos de uso: registro electrónico de una tarjeta SIM, apertura de cuentas, permiso de conducir electrónico, servicios de gobierno electrónico, firma electrónica y receta electrónica. El sitio web contiene breves declaraciones sobre los objetivos y visiones de cada caso de uso. El consorcio reúne a 148 participantes de 19 Estados miembros de la UE y Ucrania.
El consorcio NOBID se ocupa de la emisión de carteras, la emisión de medios de pago y la aceptación de pagos.
EL Consorcio DC4EU trata eID, VCs, Educational Credentials and professional qualifications, Social Security y contempla 23 países, incluida Ucrania.
El Consorcio «EUDI Wallet Consortium (EWC)» se centra especialmente en las credenciales digitales de viaje, la identificación organizativa y los pagos. Reúne a participantes de todos los Estados miembros de la UE más el Reino Unido y Ucrania. Desde el 17 de agosto, el sitio web actualizado también contiene información sobre casos de uso y experiencia de usuario (user journey).
El objetivo de la Comisión Europea es contar con al menos 4 proyectos piloto a gran escala para probar el despliegue de la Cartera Europea de Identidad Digital en casos de uso prioritarios y en relación con el principio de «una sola vez» bajo el reglamento de la Pasarela Digital Única (Single Digital Gateway). Estos proyectos piloto desplegarán la Cartera Europea de Identidad Digital (European Union Digital Identity Wallet o EUDI Wallet) en los ecosistemas nacionales de identificación electrónica de los Estados miembros, contando con la interoperabilidad transfronteriza de la identidad como elemento base de diseño, sin necesidad de modelos de reconocimiento muto que se consideara que no han funcionado en el despliegue del «EIDAS 1«.
Es interesante conocer igualmente el material difundido por la Comisión Europea para dar apoyo a la convocatoria: Material para la convocatoria de «Apoyo a la aplicación del Marco Digital Europeo» (Material for the call to provide «Support to the implementation of the European Digital Framework»). El material disponible incluye presentaciones, charlas e información recopilada en los dos seminarios web dedicados a la convocatoria. Adicionalmente hay una sección de preguntas frecuentes con información adicional y aclaraciones en la página web de la convocatoria.
No estoy seguro de que la afirmación se pueda generalizar a «TODOS» los organismos públicos, pero sí a la inmensa mayoría.
Desde hace unos cuantos años, muchos organismos públicos publican una lista de los Prestadores de Servicios de Certificación cuyos certificados admiten para realizar gestiones en su sede electrónica.
La mera existencia de una lista ya es sospechosa, porque es muy difícil mantenerla actualizada, salvo que se haga referencia a la herramienta publicada por la Comisión Europea que permite visualizar los Prestadores de Servicios de Certificación Cualificados de todos los estados miembros: https://webgate.ec.europa.eu/tl-browser/#/
La existencia de la lista da a entender que solo se admiten algunos prestadores españoles, pero si fuera así, sería ilegal.
Algunos organismos hacen referencia a que admiten los certificados que gestiona la plataforma @firma, pero esta plataforma tampoco está siendo diligente en la gestión de certificados. Y aunque con cierta frecuencia publica nuevas versiones de un documento que incluye los prestadores cuyos certificados han comprobado ( Anexo – PSC ) la cadencia de publicación lleva varios meses de retraso respecto a la publicación por la SEDIA de la lista de confianza TSL española en PDF y XML (y la lista anexa de resumen de cambios Cambios TSL).
Y el mecanismo adoptado para la comprobación de certificados por @firma debería estar más automatizado, en especial para acoger los certificados cuyos perfiles siguen las pautas definidas en los estándares de ETSI (aplicables a personas y entidades de cualquier país), aunque caber entender que los certificados «especiales» de empleado público, de sello electrónico para las administraciones, y de sede electrónica puedan contener información adicional, ya que se han definido perfiles de certificados especiales para ello en el documento «Perfiles de Certificados 2.0«. No se entiende este retraso, especialmente si se tiene en cuenta que la SGAD (de la que depende @firma ) está en el mismo Ministerio que la SEDIA ( Organismo al que los Prestadores solicitan la cualificación y su inclusión en la TSL).
Voy a indicar a continuación referencias a varias leyes (y un reglamento europeo) para que se entienda que todos los organismo públicos deben admitir los certificados de todos los prestadores cualificados europeos indpendientemente del pais que los haya incluido en su lista TSL.
La reciente Ley 6/2020 indica:
Artículo 16. Mantenimiento de la lista de confianza.
1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.
2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.
3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.
Por otro lado, la Ley 39/2015 indica:
Artículo 9. Sistemas de identificación de los interesados en el procedimiento.
1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente.
2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:
a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.
b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.
(…)
Artículo 10. Sistemas de firma admitidos por las Administraciones Públicas.
1. Los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento.
2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:
a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.
b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.
Por otro lado, el Reglamento Europeo UE 910 2014 indica en su artículo 25:
(…)
3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.
De forma semejente, en su artículo 27 Firmas electrónicas en servicios públicos
1. Si un Estado miembro requiere una firma electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firma electrónica y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.
2. Si un Estado miembro requiere una firma electrónica avanzada basada en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.
3. Los Estados miembros no exigirán para la utilización transfronteriza de un servicio en línea ofrecido por un organismo del sector público una firma electrónica cuyo nivel de garantía de la seguridad sea superior al de una firma electrónica cualificada.
4. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos de las firmas electrónicas avanzadas mencionadas en los apartados 1 y 2 del presente artículo y en el artículo 26 cuando una firma electrónica avanzada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
5. A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
Existen artículos semejantes para los sellos electrónico. Por ejemplo el artículo 35 indica:
(…)3. Un sello electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello electrónico cualificado en todos los demás Estados miembros.
Y el artículo Artículo 37 Sellos electrónicos en servicios públicos
1. Si un Estado miembro requiere un sello electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado reconocido de sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.
2. Si un Estado miembro requiere un sello electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.
3. Los Estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, un sello electrónico cuyo nivel de seguridad sea superior al de un sello electrónico cualificado.
4. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el artículo 36 cuando un sello electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
5. A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
En resumidas cuentas, los organismos públicos deben aceptar todos los certificados cualificados expedidos por Prestadores de Servicios de Certificación incluidos en las Lista de Servicios de Confianza Cualificados de todos los paises de la Unión Europea.
Los que sigan este blog han comprobado que no dejo de ser insistente porque llevo hablando de este tema desde hace más de 10 años (cada vez referenciando normas distintas, las vigentes en ese momento) y prueba de ello son los siguientes artículo:
El pasado 10 de octubre de 2019 tuvo lugar el evento «Política de contratación pública electrónica y facturación electrónica de la UE: implementación y desafíos a nivel regional» organizado por la Comisión Europea en el marco de la Semana Económica de las Regiones y las Ciudades.
Las presentaciones de expertos nacionales y de la UE proporcionaron directrices y ejemplos de buenas prácticas de diferentes estrategias nacionales, con la idea de ayudar a los participantes en la adopción de la facturación electrónica en entornos regionales y locales además de la administración general del estado.
La sesión fue inaugurada y conducida por Irena Riviere-Osipov (Responsable de la Política de Facturación Electrónica de la DG GROW).
Irena señaló que la contratación pública es una parte esencial de la actividad del sector público y ofrece importantes oportunidades de mercado a las empresas. «La contratación pública europea, que representa un volumen comercial de 2.448.000 millones de euros (aproximadamente el 16% del PIB de la UE en 2017), es un motor importante del crecimiento económico, de la creación de empleo y de la innovación» (según datos procedentes de un estudio del Departamento de Políticas del Parlamento Europeo, de enero de 2019). La digitalización de los procesos de contratación pública y la adopción de la facturación electrónica generalizada desempeñan un papel importante en los esfuerzos por garantizar la sostenibilidad medioambiental, generar ahorros fiscales en el sector público y maximizar la eficiencia.
Esta sesión incluyó posteriormente la puesta en común de las mejores prácticas en el ámbito de la facturación electrónica por parte de cinco ponentes, incluidos cuatro representantes de los Estados miembros de la UE. Los expertos compartieron sus experiencias de primera mano en la aplicación de la facturación electrónica, en particular en los niveles regionales. Esto incluía describir la estrategias utilizadas, indicar las herramientas de seguimiento aplicadas y exponer ejemplos concretos de la adopción de la facturación electrónica y su impacto.
Marc Christopher Schmidt (de la DG GROW) declaró que «Hoy en día, las tecnologías emergentes están transformando la forma en que funciona la contratación pública. La contratación pública se ha convertido en contratación pública electrónica, y ofrece nuevos servicios, productos y modelos de negocio más eficientes e innovadores».
En los tres últimos años, las capacidades digitales adquiridas en los Estados miembros han aumentado considerablemente, pero aún queda margen de mejora para aprovechar plenamente la digitalización de las distintas fases de la contratación.
Kerstin Wiss Holmdahl (Asesora Jurídica de la Asociación Sueca de Autoridades Locales y Regionales – SALAR), destacó que «Con las Tecnologías de la Información y las Comunicaciones y una nueva forma de trabajar podemos ahorrar dinero. Liberando recursos para las actividades públicas básicas (por ejemplo, escuelas, hospitales, atención a las personas mayores, etc., en los municipios)». En respuesta a una encuesta destinada a evaluar el impacto de la transformación de la contratación electrónica a nivel regional y local, el 94% de los encuestados considera que el proceso de facturación es más eficiente que antes de la adopción de la facturación electrónica.
Declan McCrormack (Principal Officer en el Programa de Facturación Electrónica de Irlanda y del Proyecto Plataforma de Licitaciones Electrónicas en la Oficina de Contratación Pública del Gobierno de Irlanda) presentó la «estrategia irlandesa para mejorar la comunicación y la colaboración entre el gobierno y los niveles locales minimizando las dependencias tecnológicas». La oficina irlandesa de Contratación Pública ha establecido acuerdos nacionales con proveedores seleccionados a fin de simplificar la contratación de soluciones homologadas a las entidades públicas locales.
Ana Ramos (Coordinadora en la Dirección de Servicios Financieros Compartidos, ESPAP – Entidade de Serviços Partilhados da Administração Pública, I.P, Portugal) declaró que «La factura electrónica es el elemento que nos aporta trazabilidad, interoperabilidad, e integración de datos de calidad, así como da lugar a otras posibilidades a lo largo de la cadena de eProcurement». A nivel local en Portugal, la implementación de la estrategia de facturación electrónica reúne cinco elementos: la estandarización de procesos, la adaptación de tecnologías, la elaboración de un programa de facturación electrónica y buenas prácticas, y la organización de una campaña de difusión.
Justin Jager (Asesor de Políticas del Ministerio del Interior de los Países Bajos) señaló que «el objetivo es mantener las herramientas de monitorización y una cooperación cercana con los organismos locales para evaluar el impacto de la aplicación de la Directiva». En los Países Bajos, el 95% de las entidades del gobierno regional y local ya han implementado una solución técnica, utilizando principalmente el modelo PEPPOL.
Los mensajes coincidieron en dar valor a la coordinación a nivel europeo en la adopción de las políticas de contratación pública electrónica y facturación electrónica. Sin embargo, cada ponente dio cuenta de que cada estrategia es única país a país y expuso el itinerario del suyo hacia la transformación digital.
La transformación digital nos señala un futuro más verde, una administración pública optimizada, abre oportunidades para la innovación y nos hace percibir la necesidad de contar con una coordinación proactiva entre los distintos niveles de la administración.
La Comisión apoya a las administraciones públicas para que adopten la facturación electrónica permitiendo la adopción de la Directiva 2014/55/UE (sobre facturación electrónica en la contratación pública) y de las normas publicadas en el esfuerzo de estandarización europea y para lo que aporta el módulo de facturación electrónica (CEF eInvoicing Building Block desarrollado en el marco de Mecanismo para la conexión con Europa (Connecting Europe Facility – CEF).
Cada Estado miembro debe encontrar las soluciones que satisfagan sus necesidades locales, regionales y nacionales. El contexto político, la toma de decisiones, las herramientas, la cooperación nacional, regional o local, la integración y la interoperabilidad deben asumirse como retos relevantes y formar parte de la estrategia de aplicación, que lleve a la generalización de la eFactura.
La iniciativa «CEF eInvoicing Building Block» apoya la facturación electrónica adoptando la norma europea EN-16931 y la Directiva 2014/55/UE (sobre facturación electrónica en la contratación pública). Ofrece diferentes tipos de recursos que merece la pena considerar.
TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020 y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.
Se estructura en tres niveles:
Usuarios avanzados de servicios de confianza digital (1 día)
Prestador de servicios de confianza digital (2 días)
Auditor de servicios de confianza digital (2 días)
Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.
El temario tentativo es el siguiente:
Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.
Proporciona una introducción a los sistemas de identificación y firma electrónica.
Se tratan los siguientes temas:
Conceptos de identificación electrónica
Breve historia de la criptografía
Algoritmos de Hash
Criptografía de clave simétrica y criptografía de clave asimétrica
Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
Estructura de los certificados. Normas X.509, X.520
SSL TSL. OCSP Stapling
Autenticación mediante certificados
Firma electrónica. Tipos de firma electrónica
Certificados cualificados
Dispositivos cualificados de Creación de Firma
Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
Normativa de firma electrónica. Reglamento EIDAS
Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
Firmas avanzadas especiales. Firma biométrica
Configuración de servidores para SSL. Como solicitar certificados
Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza
Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS
Se tratan los siguientes temas:
Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
Normativa general para Prestadores: EN 319 401:
Evaluación de riesgos,
Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
Herramientas de parseo y de comprobación de la calidad de certificados.
Certificate transparency. Repositorios e integración
Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
Reglas de uso del signo distintivo europeo de cualificación EIDAS
Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza
Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.
Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.
En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.
Se tratan los siguientes temas:
Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
Partes involucradas y pautas de interacción.
Curso típico de un proyecto de auditoría.
Recomendación para la acción y el enfoque durante las auditorías.
Requisitos y esquema de informes de evaluación.
Modelo de CAR para auditores
Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.
Para más información llamar a TCAB al +34 91 3880789
ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.
Time: April 27, 2017 from 09:30to 17:00
Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium
The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.
Trust Services Forum 2017 – Agenda
09:45 – 10:15
Registration & Welcome Coffee
10:15 – 11:30
Welcome Statement
State of play: eIDAS Regulation, CEF, ENISA activities
Gábor Bartha – European Commission
João Rodrigues Frade – European Commission
Sławomir Górniak – ENISA
11:30 – 11:45
Coffee Break
11:45 – 12:45
Panel Discussion 1
One year after eIDAS provisions entered into force
Where do we stand?
Moderator:
Prokopios Drogkaris, ENISA
Panelists:
John Jolliffe, Adobe
Olivier Delos, SEALED
Romain Santini, ANSSI
Michał Tabor, Obserwatorium.biz
12:45 – 13:45
Lunch Break
13:45 – 14:00
Article 19 – State of play
Ilias Bakatsis, ENISA
14:00 – 15:00
Panel Discussion 2
Working on the eIDAS through guidelines and recommendations
Moderator:
Sławomir Górniak, ENISA
Panelists:
Camille Gerbert – LSTI
Björn Hesthamar – PTS SE
Leslie Romeo – 1&1
Jérôme Bordier – ClubPSCo
15:00 – 15:30
Coffee Break
15:30 – 16:30
Panel Discussion 3
Strengthening the adoption of qualified certificates for website authentication
Esta Norma Europea establece un modelo de datos semántico de los elementos centrales de una factura electrónica. El modelo semántico incluye sólo los elementos esenciales de información que una factura electrónica necesita para garantizar el cumplimiento legal (incluido el fiscal) y permitir la interoperabilidad para el comercio transfronterizo, transversal y para el comercio interior.
El modelo semántico puede ser utilizado por las organizaciones de los sectores público y privado para la facturación en un contexto de contratación pública.
También puede utilizarse para la facturación entre empresas del sector privado. Esta norma europea cumple al menos los siguientes criterios:
es tecnológicamente neutra;
es compatible con las normas internacionales de aplicación en materia de facturación electrónica;
tiene en cuenta las necesidades de protección de datos de carácter personal de conformidad con la Directiva 95/46 / CE, un enfoque de «protección de datos por diseño» y los principios de proporcionalidad, minimización de datos y limitación de objetivos; es compatible con las disposiciones de aplicación de la Directiva 2006/112 / CE;
permite el establecimiento de sistemas de facturación electrónica prácticos, fáciles de utilizar, flexibles y rentables;
tiene en cuenta las necesidades especiales de las pequeñas y medianas empresas, así como de los poderes adjudicadores subcentrales y las entidades adjudicadoras del sector público;
es apto para ser utilizado en transacciones comerciales entre empresas
OJO. No confundir esta norma con la ISO 19631 (2009) Animal and vegetable fats and oils. Determination of polymerized triacylglycerols by high-performance size- exclusion chromatography (HPSEC)
Todo es electrónico 