Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

Hoy se ha publicado la versión 1 del documento «European Digital Identity Wallet Architecture and Reference Framework» que llevábamos algún tiempo esperando.

El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.

La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.

De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).

Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»

Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.

arf-arquitectura-marco-de-referencia-de-la-identidad-digital-europea-esquema-cartera-idue-de-eidas2Descarga

Como usar Noticeman como sistema de contratación electrónica para pymes y profesionales

El artículo 1262  del Código Civil establece:

El consentimiento se manifiesta por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato.

Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta.

En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación.

Por otro lado el artículo 1450 indica:

La venta se perfeccionará entre comprador y vendedor, y será obligatoria para ambos, si hubieren convenido en la cosa objeto del contrato, y en el precio, aunque ni la una ni el otro se hayan entregado.

Aunque hay contratos que exigen por su naturaleza requisitos especiales y otros con exigencias de forma concreta («ad solemnitatem o ad subtantiam») la mayor parte de los contratos que se vehiculan a través de internet se basan en la adecuada prestación del consentimiento. Sin consentimiento, sin confirmación de la existencia de voluntad por las partes en crear una relación jurídica generadora de derechos y obligaciones, no hay contrato.

Y esta es una de las ventajas de Noticeman: no se limita a garantizar la entrega a su destinatario de un documento en determinado momento, propio de un servicio de notificación, sino que permite gestionar diferentes variantes de prestación del consentimiento .

De esta forma, el documento notificado supone la entrega incuestionable de la oferta, y la respuesta marcada por el destinario asociada a esa oferta es la prestación del consentimiento, resultando en la perfección del contrato, de una forma que recoge todas las evidencias electrónicas de los momentos en los que se dieron los pasos de la presentación de la oferta y de su aceptación, recogiendo la expresión de voluntad de las partes.

Al redactar el mensaje la pantalla de edición es semejante a una pantalla de GMAIL u otra herramienta de redacción de correos electrónicos, y es posible adjuntar ficheros (por ejemplo el fichero de oferta).

Pero en la parte de abajo de la pantalla hay una persianilla de opciones («combo box») para que el remitente elija cómo quiere que Noticeman gestione el mensaje frente al destinatario, permitiendo varias modalidades de respuesta.

Simplemente seleccionando la opción «Acepto/no acepto» se le ofrece la destinatario la opción de elegir. De modo que si elige «Acepto» se logra la perfección del contrato con evidencias electrónicas para ambas partes, recogidas en un soporte duradero.

El CSV (Código Seguro de Verificación) en el APL de Medidas de Eficiencia Procesal del Servicio Público de Justicia

Hace varios meses se publicaron el APL de Medidas de Eficiencia Procesal del Servicio Público de Justicia y su Memoria del Análisis de Impacto Normativo.

Su Título III se centraba en la Transformación digital, modificando algunos artículos de ciertas normas, entre otras, la Ley 18/2011.

Aquel texto ha quedado superado tras la iniciativa legislativa de la Ley de Eficiencia Digital, por lo que es posible que la versión de la Ley de Eficiencia Procesal que inicie la tramitación parlamentaria difiera en algunos aspectos de aquel texto.

No obstante, a título ilustrativo, es interesante ver el tratamiento que el Anteproyecto de Ley le daba al CSV (Código Seguro de Verificación), en el texto que se pensaba destinar a modificar la Ley 18/2011. Especialmente tras revisar recientemente en este blog el CSV (Código Seguro de Verificación) en la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia

Este era el texto destinado a modificar el artículo 20 de la Ley 18/201:

«Artículo 20. Sistemas de Código Seguro de Verificación.

Las Administraciones con competencia en materia de justicia podrán gestionar sistemas de Código Seguro de Verificación que, cuando figuren en un documento electrónico o en su versión impresa permitan el cotejo de la autenticidad del documento, accediendo a uno o más sitios web que ofrezcan la funcionalidad de obtención del documento electrónico a partir del código.

Los Códigos Seguros de Verificación se codificarán de forma que el código indique una forma de direccionamiento electrónico respecto al sistema que lo generó y pueda accederse a su cotejo desde cualquier servicio de cotejo compatible.

Los documentos con Código Seguro de Verificación tendrán la consideración de auténticos mientras se pueda acceder a las funciones de obtención del documento electrónico a partir del código.

Los documentos electrónicos se custodiarán tras la fase activa en el sistema de custodia longeva considerado como servicio digital judicial central según lo dispuesto en el Real Decreto 937/2003, de 18 de julio, de modernización de los archivos judiciales, donde se podrá efectuar el derecho de acceso.

La inclusión de códigos seguros de verificación en los documentos se acompañará de la dirección electrónica en la que poder realizar el cotejo, que se incluirán una sola vez, al principio o al final del documento con un antetexto que indique que en esa dirección se puede obtener el documento electrónico al completo, y que en las transcripciones del documento es conveniente eliminar esa información de Código Seguro de Verificación.

Los sistemas informáticos que se utilicen para los archivos judiciales deberán ser compatibles con los sistemas de gestión procesal para facilitar su comunicación e integración, en los términos que determine el Comité técnico estatal de la Administración judicial electrónica.

Se podrán establecer requisitos restrictivos de identificación o similares sobre algunos documentos, para evitar que sean accesibles únicamente por su Código Seguro de Verificación cuando existan razones de protección de la información.

Se podrán habilitar mecanismos que ofrezcan el documento en una versión anonimizada.

Los documentos electrónicos podrán contener medidas de seguridad como marcas de agua, sistemas anti-copia o versiones personalizadas de documentos que permitan detectar la persona concreta que hubiera difundido un documento de forma no autorizada.»

El anteproyecto requería la modificación del Real Decreto 937/2003, de 18 de julio, de modernización de los archivos judiciales para acoger un nuevo «servicio digital judicial central», para permitir la custodia de expedientes judiciales electrónicos a largo plazo. Es imperativo actualizar el Real Decreto 937/2003 porque ancla el sistema español de archivos judicales a largo plazo a un contexto y una metodología predigitales.

La mención a la inclusión de los CSV una sola vez pretende evitar que esos códigos formen parte del paisaje y no se les dé la importancia que tienen. El famoso incidente del CSV en la versión anonimizada de la sentencia de la manada quizá se hubiera podido evitar con esa medida y con la de incluir un antetexto que indique que en esa dirección electrónica se puede obtener el documento electrónico al completo, y que en las transcripciones del documento o sus versiones anonimizadas es conveniente eliminar esa información de Código Seguro de Verificación.

La mención de la recomendación de que los Códigos Seguros de Verificación se codifiquen de forma que el código indique una forma de direccionamiento electrónico respecto al sistema que lo generó y pueda accederse a su cotejo desde cualquier servicio de cotejo compatible, algo que ya se contempla en la norma de codificación de los Códigos Seguros de Verificación del CTEAJE, pretendía dotarla del suficiente rango legal para extender su adopción.

El CSV (Código Seguro de Verificación) en la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia

El Artículo 26 de la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia define las caractrísticas de los Sistemas de Código Seguro de Verificación empleados en el ámbito de la Administración de Justicia.

Establece:

1. Las Administraciones con competencia en materia de Justicia podrán gestionar sistemas de Código Seguro de Verificación que, cuando figuren en un documento electrónico o en su versión impresa, permitan el cotejo de la autenticidad e integridad del documento. El cotejo de los documentos con Código Seguro de Verificación se realizará en la sede judicial electrónica correspondiente al órgano que emitió el documento, así como en la Carpeta Justicia.
2. La inclusión de Códigos Seguros de Verificación en los documentos se acompañará de la dirección electrónica en la que poder realizar el cotejo.
3. Los Códigos Seguros de Verificación se codificarán de conformidad con los términos que se definan en el marco del Comité Técnico Estatal de la Administración Judicial Electrónica.
4. Se podrán establecer requisitos restrictivos de identificación o similares sobre algunos documentos, para evitar que sean accesibles únicamente por su Código Seguro de Verificación, cuando existan razones de protección de la información.
5. Se podrán habilitar mecanismos que ofrezcan el documento en una versión anonimizada. Los documentos electrónicos podrán contener medidas de seguridad tales como marcas de agua, sistemas anti-copia o versiones personalizadas de documentos que permitan detectar la persona concreta que hubiera difundido un documento de forma no autorizada.

Con estas previsiones, el Código Seguro de Verificación podría corresponder a una copia concreta destinada a una persona concreta por lo que en contextos en los que se prohiba la difusión de un documento dotado de CSV, quedará expuesta la identidad de quien lo haya filtrado, lo que puede acarrear sanciones e, incluso tener la consideración de delito.

El Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) ya ha definido la codificación de CSV en el documento PROPUESTA DE ESTANDARIZACIÓN DEL INTERFAZ DE ACCESO AL SERVICIO DE CSV DE LAS SEDES y ha creado el concepto de Código Seguro de Verificación (CSV) enrutable del que ya nos hemos hecho eco en este Blog.

De esta manera, si en un momento futuro cambia la dirección electrónica en la que poder realizar el cotejo, todavía se podrá realizar dicho cotejo desde otras direcciones de comprobación en el ámbito de la Administración de Justicia,

Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Se ha publicado un Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) no 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Dictamen 2021 del Comité Económico y Social Europeo sobre EIDAS2Descarga

Ponente: Tymoteusz Adam ZYCH
Consulta Parlamento Europeo, 8.7.2021
Consejo, 15.7.2021
Fundamento jurídico Artículo 114 del Tratado de Funcionamiento de la Unión Europea.
Sección competente Mercado Único, Producción y Consumo
Aprobado en sección 30.9.2021
Aprobado en el pleno 20.10.2021
Pleno nº 564
Resultado de la votación: 229 a favor / 2 en contra / 5 abstenciones

1. Conclusiones y recomendaciones
   
   1.1. El Comité Económico y Social Europeo (CESE) acoge con satisfacción la propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad
   digital europea, propuesta que adaptaría dicho acto jurídico a las necesidades actuales del mercado. La evaluación del Reglamento vigente ha puesto de manifiesto la necesidad de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso tanto al sector privado como al público y que estén disponibles para la gran mayoría de ciudadanos y residentes europeos.
   
   1.2. Sin embargo, el CESE observa que la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y
   personas con discapacidad. Por consiguiente, el CESE pide a la Comisión Europea y a los Estados miembros que establezcan el marco necesario para la campaña de educación e información digitales, que debería servir al mismo tiempo para aumentar la sensibilización en el ámbito de la protección de los datos personales.
   
   1.3. El CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser discrecional y gratuito. No obstante, la introducción de nuevas soluciones digitales implica necesariamente un tiempo y un gasto considerables. Por ello, el CESE pide a la Comisión Europea que profundice en la evaluación del tiempo necesario para la aplicación real del nuevo Reglamento a fin de no afectar negativamente al mercado y que proporcione un análisis más detallado y una mayor claridad en el Reglamento respecto a los costes previstos de su aplicación.
   
   1.4. El CESE observa que la sección 9 del Reglamento propuesto prevé el reconocimiento transfronterizo obligatorio de las declaraciones electrónicas de atributos cualificadas emitidas en un Estado miembro. Sin embargo, teniendo en cuenta que las disposiciones del Derecho interno varían a menudo considerablemente entre los Estados miembros, el CESE reconoce la necesidad de aclarar que el reconocimiento de una declaración electrónica de atributos cualificada en un Estado miembro se limita a la confirmación de los hechos, de manera análoga a lo establecido en el apartado 4 del artículo 2 del Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea (Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 200 de 26.7.2016, p. 1) ): «El presente Reglamento no se aplica al reconocimiento en un Estado miembro de los efectos jurídicos relativos al contenido de los documentos públicos expedidos por las autoridades de otro Estado miembro».
   
   1.5. Desde el punto de vista del CESE, la protección efectiva de los datos debe examinarse especialmente en el contexto de la protección de los derechos fundamentales, en particular el derecho a la intimidad y el derecho a la protección de los datos personales. El CESE respalda por ello plenamente el requisito de que el marco para una identidad digital europea proporcione a los usuarios los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente. El CESE invita a la Comisión y a los Estados miembros a que incluyan en las consultas sobre los aspectos técnicos del marco para una identidad digital europea la creación de un registro que permita a los usuarios rastrear cualquier acceso a sus datos.
   
   1.6. El CESE desea destacar las preocupaciones en materia de seguridad relacionadas con el proceso de digitalización, en particular las referidas al desarrollo de los enormes sistemas que almacenan y procesan datos vulnerables al fraude y la pérdida. El CESE también es consciente de que actualmente no existe ningún sistema de seguridad capaz de ofrecer una protección completa de los datos. Así pues, el CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos (por ejemplo, el robo o la divulgación de estos). Esta garantía debe ser independiente de que exista o no culpa del proveedor.
   
2. Introducción
   
   2.1. El objeto del presente Dictamen es la propuesta de Reglamento de la CE por el que se modifica el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73) ) («Reglamento eIDAS») en lo que respecta al establecimiento de un marco para una identidad digital europea.
   
   2.2. Como se señala en la exposición de motivos, el Reglamento eIDAS proporcionaría las siguientes protecciones y beneficios: 1) acceso a soluciones de identidad electrónica altamente seguras y fiables; 2) la garantía de que los servicios públicos y privados puedan apoyarse en soluciones de identidad digital fiables y seguras; 3) la garantía de que las personas físicas y jurídicas puedan utilizar soluciones de identidad digital; 4) la seguridad de que dichas soluciones presenten un conjunto de atributos y permitan el intercambio selectivo de datos de identidad, y de que dichos datos se limiten a las necesidades del servicio específico solicitado; y 5) la garantía de la aceptación de los servicios de confianza en la Unión Europea y de la igualdad de condiciones para su prestación. Las modificaciones propuestas responden al aumento de la demanda de soluciones digitales transfronterizas fiables que satisfagan la necesidad de identificar y autenticar a los usuarios con un elevado nivel de garantía.

3. Observaciones generales
   
   3.1. El CESE es consciente de las nuevas demandas del mercado interior en cuanto al desarrollo de servicios electrónicos de identificación y confianza para las transacciones electrónicas transfronterizas. Las soluciones existentes previstas en el Reglamento eIDAS, que empezaron a surtir efectos jurídicos en varias fases a partir de julio de 2016, no satisfacen dichas demandas, lo que se confirma por el hecho de que, en este momento, solo el 59 % de los residentes en la UE tengan acceso a soluciones seguras y fiables de identidad electrónica. Además, el acceso transfronterizo a estos servicios resulta limitado por la falta de interoperabilidad entre los sistemas que ofrecen los distintos Estados miembros.
   
   3.2. Por ello, el CESE acoge con satisfacción la nueva propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad digital europea, propuesta que
   adaptaría dicho acto jurídico a las necesidades actuales del mercado. Se calcula que las soluciones propuestas en el documento de la Comisión podrían contribuir a aumentar el número de usuarios de la identidad digital hasta el 80 % o incluso el 100 % de todos los ciudadanos y residentes de la UE.
   
   3.3. El CESE acoge con especial satisfacción las soluciones destinadas a aumentar la seguridad de los datos personales de los usuarios garantizando la discrecionalidad de compartir o no dichos datos y la posibilidad de controlar la naturaleza y la cantidad de datos facilitados a las partes usuarias. Según la propuesta, los Estados miembros mantendrán el control sobre los proveedores de servicios digitales, por lo que garantizarían que los conjuntos de datos sensibles (por ejemplo, relacionados con la salud, la religión y las creencias, las opiniones políticas o el origen racial o étnico) solo sean facilitados por los proveedores de servicios, cuando se les solicite, tras una decisión informada adoptada por el titular de la identidad de conformidad con la legislación nacional aplicable.
   
   3.4. El CESE señala que el calendario para la aplicación de determinadas disposiciones del nuevo Reglamento es bastante optimista e invita a la Comisión Europea a que, al establecer los plazos de aplicación definitivos, también tenga en cuenta el tiempo necesario para que los proveedores de servicios mejoren sus sistemas informáticos para cumplir las nuevas obligaciones. Por consiguiente, el CESE pide a la Comisión que analice en más profundidad el tiempo necesario para la aplicación real del nuevo Reglamento y, en consecuencia, amplíe el plazo de aplicación a fin de no afectar al mercado pertinente. Por ejemplo, la entrada en vigor del Reglamento obligará a que los actuales proveedores cualificados de servicios de confianza que ofrezcan la posibilidad de firma a distancia basada en dispositivos cualificados de creación de firmas electrónicas se conviertan en proveedores cualificados para ese servicio específico; estos proveedores necesitarán tiempo tanto para poner en práctica los aspectos técnicos como para completar el procedimiento de autorización.
   
   3.5. El CESE señala que, independientemente de sus beneficios, la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y personas con discapacidad. El CESE reconoce el papel esencial de la educación de la ciudadanía europea para combatir dicha exclusión; al mismo tiempo, dicha educación debe servir para aumentar la sensibilización en el ámbito de la protección de los datos personales.

4. Disponibilidad de un marco para una identidad digital europea y discrecionalidad de su uso
   
   4.1. El CESE acoge favorablemente la idea de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso no solo a los servicios públicos, sino también al sector privado. Por otra parte, el CESE está de acuerdo con los intentos de la Comisión Europea de poner un marco para una identidad digital europea a disposición de la inmensa mayoría de los ciudadanos europeos. Debido a los obstáculos que existen para el acceso transfronterizo a los servicios de identidad electrónica (por ejemplo, la falta de interoperabilidad entre los sistemas de identidad electrónica desarrollados por los Estados miembros), muchos residentes de la UE no los utilizan en absoluto. Las nuevas soluciones basadas en las carteras de identidad digital europea pueden contribuir a que al menos el 80 % de los europeos dispongan de servicios en línea fiables.
   
   4.2. Por tanto, el CESE respalda la propuesta de requerir que los Estados miembros emitan una cartera de identidad europea, un instrumento que permitiría a los usuarios: 1) solicitar y obtener, almacenar, seleccionar, combinar y compartir de forma segura, transparente y rastreable por el usuario, los datos de identificación de persona jurídica y la declaración electrónica de atributos que sean necesarios para autenticarse en línea y fuera de línea con el fin de acceder a servicios públicos y privados en línea; y 2) firmar por medio de firmas electrónicas cualificadas.
   
   4.3. Además, el CESE acoge favorablemente la propuesta de garantizar que la cartera de identidad digital europea sea igualmente accesible para las personas con discapacidad de conformidad con las disposiciones del anexo I de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70) ), en consonancia con el principio de no discriminación de la UE establecido en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea. Con el fin de evitar la exclusión digital en ese ámbito, el CESE propone que todas las soluciones se desarrollen en cooperación con las instituciones competentes y las ONG para personas con discapacidad, aplicando un enfoque basado en la participación de múltiples partes interesadas.
   
   4.4. Desde el punto de vista del CESE, el hecho de que el uso de una cartera de identidad digital europea sea discrecional para los ciudadanos y residentes también es un aspecto positivo. El CESE considera que los usuarios no deberían estar obligados a utilizar dicha cartera para acceder a servicios privados o públicos, sino simplemente tener la posibilidad de hacerlo.
   
   4.5. Desde el punto de vista de la asequibilidad, el CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser gratuito para los usuarios. No obstante, el CESE pide a la Comisión Europea que analice y aclare más detalladamente en el Reglamento los siguientes aspectos: i) el coste de emisión para las personas físicas, ii) los costes (de emisión y uso) para las entidades jurídicas y iii) los costes de añadir atributos de identidad digital a dicha cartera, ya que el CESE considera que cada una de estas adiciones representaría un servicio de confianza, por lo que conllevaría costes para el propietario de la cartera.
   
5. Aspectos relativos a la facilidad de uso de un marco para una identidad digital europea
   
   5.1. El CESE acoge con satisfacción la iniciativa de la Comisión Europea de mejorar la facilidad de uso de los medios de identificación electrónica mediante la creación de un marco común para una identidad digital europea basado en la confianza transfronteriza en las carteras de identidad digital europea.
   
   5.2. Según la propuesta, la facilidad de uso puede mejorarse con los medios previstos en el nuevo artículo 12 ter del Reglamento eIDAS. Dicho artículo contiene una serie de requisitos relativos al reconocimiento de las carteras de identidad digital europea, dirigidos no solo a los Estados miembros sino también a las partes usuarias privadas prestadoras de servicios y a las «plataformas en línea de muy gran tamaño», definidas en el artículo 25, apartado 1, de la Ley de Servicios Digitales propuesta (Propuesta de Reglamento relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE – COM (2020) 825 final). Sobre la base de estas nuevas disposiciones, algunos sectores privados (transporte, energía, servicios bancarios y financieros, seguridad social, salud, agua potable, servicios postales, infraestructuras digitales, educación y telecomunicaciones) deberán aceptar el uso de carteras de identidad digital europea para la prestación de servicios en los casos en que la legislación nacional o de la UE o las obligaciones contractuales exijan una autenticación reforzada del usuario para la identificación en línea. Según la propuesta de la Comisión, este mismo requisito se aplicaría a las plataformas en línea de muy gran tamaño (por ejemplo, las redes sociales), las cuales deberían aceptar el uso de carteras de identidad digital europea en relación con los atributos mínimos necesarios para un servicio en línea determinado para el que se solicite autenticación, como la acreditación de la edad.
   
   5.3. El CESE señala que, para garantizar la disponibilidad generalizada y facilidad de uso de los medios de identificación electrónica, incluidas las carteras de identidad digital europea, los proveedores privados de servicios en línea (que no sean considerados «plataformas de muy gran tamaño») deberían participar en el desarrollo de «códigos de conducta» de autorregulación que faciliten una amplia aceptación de los medios de identificación electrónica. La Comisión Europea debe ser la encargada de evaluar la eficacia y facilidad de uso de dichas disposiciones para los usuarios de carteras de identidad digital europea.

6. Cuestiones relativas a los efectos jurídicos de las carteras de identidad digital europea
   
   6.1. El CESE respalda la propuesta en lo que se refiere a la mejora del acceso a los servicios públicos digitales, en particular en situaciones transfronterizas.
   
   6.2. La nueva sección 9 propuesta del Reglamento eIDAS establece que una declaración electrónica de atributos cualificada emitida en un Estado miembro debe reconocerse como declaración electrónica de atributos cualificada en cualquier otro Estado miembro.
   
   6.3. Sin embargo, por lo que se refiere al Derecho interno de los Estados miembros, que en algunos casos puede diferir significativamente de un Estado a otro, el CESE señala que los atributos cotejados con fuentes auténticas en un Estado miembro deben limitarse únicamente a la confirmación de circunstancias de hecho y no deben producir efectos jurídicos en otros Estados miembros, a menos que los atributos en cuestión se ajusten a su legislación nacional. En esencia, las soluciones jurídicas propuestas no deben afectar al reconocimiento en un Estado miembro de efectos jurídicos relacionados con el contenido de atributos cotejados con fuentes auténticas en otro Estado miembro, por analogía con lo dispuesto en el Reglamento (UE) 2016/1191. Un ejemplo de ello pueden ser determinados datos personales (relativos a la religión o las creencias de una persona). En algunos países de la UE, este tipo de información surte efectos jurídicos (por ejemplo, en Alemania, los datos del registro civil incluyen información sobre la religión, que determina la obligación de pagar un impuesto eclesiástico para casarse por ceremonia religiosa), mientras que en otros países (como Polonia) carece de tales efectos.
   
   6.4. Por consiguiente, el CESE invita a la Comisión Europea a que considere la posibilidad de aclarar el texto de la sección 9 a fin de dejar claro que el reconocimiento en cualquier otro Estado miembro de una declaración electrónica de atributos cualificada se limita a la confirmación de las circunstancias de hecho relacionadas con el atributo en cuestión y no produce efectos jurídicos en otros Estados miembros a menos que los atributos declarados se ajusten a su legislación nacional.
   
7. Aspectos de seguridad
   
   A. Protección de datos en el contexto de los derechos fundamentales
   
   7.1. El CESE observa que, debido a la falta de un marco común para una identidad digital europea, en la mayoría de los casos los ciudadanos y otros residentes se enfrentan a obstáculos para el intercambio digital transfronterizo de información relacionada con su identidad, así como para intercambiar dicha información de forma segura y con un nivel elevado de protección de datos.
   
   7.2. El CESE acoge por ello positivamente los intentos de crear un sistema interoperable y seguro basado en carteras de identidad electrónica europea, que podría mejorar el intercambio de información entre los Estados miembros en relación con las situaciones laborales o los derechos sociales, entre otras cuestiones. En este contexto, el CESE espera que el nuevo marco para una identidad digital europea genere, por ejemplo, posibilidades de aumentar rápidamente las oportunidades de empleo transfronterizo y de ampliar la concesión automática de derechos sociales sin procedimientos de solicitud u otros esfuerzos administrativos adicionales.
   
   7.3. Sin embargo, desde el punto de vista del CESE, la protección efectiva de los datos es la principal preocupación que debe abordarse en el contexto de la protección de los derechos fundamentales, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales.
   
   7.4. Por lo tanto, el CESE apoya plenamente el requisito de que el marco para una identidad digital europea proporcione a todas las personas los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente (también en relación con el acceso desde el sector público). Como se indica en la propuesta, esto requerirá asimismo un nivel alto de seguridad en todos los aspectos de la provisión de la identidad digital, incluida la expedición de una cartera de identidad digital europea, y la infraestructura necesaria para la recopilación, el almacenamiento y la divulgación de datos de identidad digital.
   
   7.5. En este contexto, el CESE acoge favorablemente la propuesta de que los usuarios tengan derecho a revelar de forma selectiva sus atributos, limitándolos a los que sean necesarios en una situación determinada. En virtud de la propuesta, al utilizar la cartera de identidad digital europea el usuario podrá controlar la cantidad de datos que proporciona a terceros, y deberá ser informado de los atributos requeridos para la prestación de un determinado servicio.
   
   7.6. El CESE apoya la propuesta de separar física y lógicamente los datos personales relacionados con la provisión de carteras de identidad digital europea de cualquier otro dato almacenado por los emisores de dichas carteras, y respalda el requisito de que los proveedores de servicios cualificados de declaración electrónica de atributos deban constituir una entidad jurídica separada.
   
   7.7. Además de la necesidad de garantizar una protección eficaz de los datos, resulta esencial que los usuarios tengan control sobre sus datos. En ese sentido, el CESE también respaldaría la creación de un marco para una identidad digital europea basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados.
   
   7.8. El CESE subraya que, para garantizar un elevado nivel de protección jurídica de sus datos, los usuarios deberían tener un mayor control sobre las carteras de identidad de datos europea, en particular mediante la rastreabilidad del acceso a los datos de cada usuario. A tal fin, los aspectos técnicos —que se determinarán durante los debates posteriores a la aprobación de la propuesta— deben incluir la creación de un registro que permita al usuario verificar, previa solicitud, cualquier acceso a sus datos que se produzca.
   
   B. Otros aspectos relacionados con la seguridad y la responsabilidad
   
   7.9. De acuerdo con la propuesta, el nuevo marco para una identidad digital europea proporcionará mecanismos para prevenir el fraude y garantizar la autenticación de los datos de identificación personal. La propuesta incluye una disposición que introduce medios que permiten el cotejo de los atributos con fuentes auténticas: esto podría mejorar, por ejemplo, la seguridad en línea de los niños y niñas impidiéndoles acceder a contenidos inadecuados para su edad. El CESE señala que, a nivel nacional, tal protección no existe actualmente o es muy ineficaz.
   
   7.10. El CESE acoge con satisfacción la idea de que los navegadores web deban garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web previstos en el Reglamento eIDAS. A tal efecto, deben reconocer y mostrar certificados cualificados para la autenticación de sitios web con objeto de ofrecer un nivel alto de seguridad, lo que permitiría a los propietarios de los sitios web demostrar su identidad como propietarios de un sitio web y a los usuarios identificar a los propietarios de los sitios web con un alto grado de certeza. Al mismo tiempo, el CESE considera necesario proporcionar mecanismos de recurso sencillos, rápidos y eficaces para garantizar el desbloqueo de los sitios web que hayan sido marcados indebidamente como peligrosos. También deben establecerse normas en materia de responsabilidad en relación con todos los casos en que un sitio web sea calificado incorrectamente como peligroso.
   
   7.11. El CESE desea destacar que toda digitalización de datos plantea problemas de seguridad, especialmente por lo que se refiere a los enormes sistemas de almacenamiento y procesamiento de datos, que constituyen una fuente de información vulnerable al fraude y la pérdida. El CESE también es consciente de que hoy por hoy no existe un sistema de seguridad plenamente eficaz (es decir, sin lagunas ni errores) capaz de eliminar por completo esta amenaza.
   
   7.12. Señala por ello que, para minimizar todas estas situaciones indeseables relacionadas con los datos de los usuarios, la arquitectura técnica del marco para una identidad digital europea desarrollado por los Estados miembros en coordinación con la Comisión debería centrarse en medidas que aumenten la seguridad de los datos y proporcionen mecanismos de control de los datos. Estos mecanismos son importantes, por ejemplo, en contextos en los que los datos recabados de los usuarios se utilicen para fines distintos de los previstos inicialmente. Al mismo tiempo, el CESE considera que la arquitectura técnica debe desarrollarse respetando los derechos fundamentales y el principio de soberanía de los Estados miembros.
   
   7.13. El CESE constata que el artículo 13, apartado 1, del Reglamento eIDAS establece que los proveedores de servicios de confianza serán responsables por los daños causados de forma intencionada o por negligencia a cualquier persona física o jurídica como consecuencia del incumplimiento de las obligaciones derivadas de dicho Reglamento (y de las obligaciones de gestión de los riesgos para la ciberseguridad contempladas en el artículo 18 de la Directiva SRI2 propuesta, según se establece en la propuesta de la Comisión). Esta disposición debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad (artículo 13, apartado 3).
   
   7.14. En el contexto de las preocupaciones relativas a la responsabilidad, el CESE desea señalar que las cuestiones relacionadas con la definición de los daños, su cuantía y la indemnización correspondiente están reguladas por el Derecho interno de los Estados miembros. La responsabilidad de los proveedores de servicios de confianza puede verse limitada en virtud de las disposiciones pertinentes del Derecho interno y de las «políticas de prestación de servicios», que son definidas por los proveedores.
   
   7.15. El CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos, entre otras el robo, pérdida o divulgación de datos o el uso de estos para fines distintos de los previstos originalmente. Esta obligación debe incluir todas las situaciones mencionadas, independientemente de que exista o no culpa del proveedor (por dolo o negligencia).
   
   7.16. Cualquier robo, divulgación no autorizada o pérdida de datos (especialmente datos personales) puede causar un daño a largo plazo a su propietario. Una vez difundida la información digital, muchas entidades pueden hacerse con ella a lo largo del tiempo en contra de la voluntad de su propietario. El CESE anima a la Comisión y a los Estados miembros a que busquen y desarrollen mecanismos eficaces que amparen a los propietarios de los datos en tales casos.
   
   7.17. Las soluciones propuestas del nuevo sistema obligarán a los proveedores de servicios a mejorar significativamente sus sistemas de seguridad electrónica a un nivel mucho más elevado, prestando especial atención a la ciberseguridad. El CESE prevé que esto conlleve costes significativos y una modernización de la infraestructura informática actual y pueda suponer una carga excesiva para algunos proveedores de servicios, que podría incluso dar lugar a la desaparición, en algunos mercados, de los proveedores de servicios que no puedan permitirse tales inversiones en un breve período de tiempo. Por lo tanto, el CESE considera que la Comisión y los Estados miembros deberían buscar soluciones que protejan a los proveedores frente a la discriminación en este ámbito y permitan un «aterrizaje suave» en ese sentido, en particular ofreciendo la posibilidad de garantizar el cumplimiento de los nuevos requisitos en varias fases, dentro de un plazo razonable.

Bruselas, 20 de octubre de 2021
La Presidenta
del Comité Económico y Social Europeo
Christa SCHWENG

Plataformas de voto electrónico

Han pasado varios años desde la aparición de las primeras plataformas de voto electrónico con entidades pioneras como Scytl e Innovoto y en la actualidad ha florecido la oferta de este tipo de propuestas, en particular desde la irrupción de la pandemia COVID-19 que dió lugar a una gran flexibilización en gestión del voto electrónico societario.

Ya han aparecido diferentes plataformas de voto electrónico como las siguientes:

• Appsamblea
• Councilbox 
• CustomVote
• Demokratian
• Docuten
• Kuorum
• nVotes (antiguo Agora Voting)
• Sufragium
• Wevote

Que se suman a las ya citadas Scytl e Innovoto .

Durante la pandemia, el voto electrónico societario tuvo el apoyo de diversas normas que se acumularon el el BOE a lo largo de los meses.

El Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 definió en los artículo 40 y 41 referidos a «Medidas extraordinarias aplicables a las personas jurídicas de Derecho privado» y «Medidas extraordinarias aplicables al funcionamiento de los órganos de gobierno de las Sociedades Anónimas Cotizadas» la autorización singular para el voto a distancia, incluso cuando no estuviera previsto estatutariamente.

El Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19 introdujo algunos cambios en dichos artículos.

Posteriormente, el Real Decreto-ley 34/2020, de 17 de noviembre, de medidas urgentes de apoyo a la solvencia empresarial y al sector energético, y en materia tributaria consolidó y extendió estas prácticas, en su Artículo 3 referido a «Medidas extraordinarias aplicables a las personas jurídicas de Derecho privado».

En 2021, el Real Decreto-ley 5/2021, de 12 de marzo, de medidas extraordinarias de apoyo a la solvencia empresarial en respuesta a la pandemia de la COVID-19 , se prevé en la Disposición final octava, una modificación del Real Decreto-ley 34/2020, de 17 de noviembre, para seguir permitiendo que las sociedades anónimas que no hubieran podido modificar sus estatutos pudieran seguir celebrando la junta general o asamblea de socios por medios telemáticos durante el ejercicio 2021, siempre que se garantice la identidad del accionista que ejerce su derecho de voto y se ofrezca la posibilidad de participar en la reunión por distintas vías.

Nuevamente la Ley 2/2021, de 29 de marzo, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19 introduce en la Disposición final cuarta una Modificación del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 y medidas extraordinarias aplicables a las personas jurídicas de Derecho privado.

Si no se plantea para 2022 una nueva ampliación para la posibilidad de aplicación de medidas excepcionales de voto a distancia incluso cuando este voto no estuviera previsto en los estatutos, las sociedades no podrán hacerlo sin más.

En virtud de lo dispuesto en el artículo 182 bis de la Ley de Sociedades de Capital, todas aquellas Sociedades Anónimas y de Responsabilidad Limitada que deseen celebrar juntas exclusivamente telemáticas deberán:

• Prever estatutariamente la autorización de convocar por parte del órgano de administración, juntas para ser celebradas sin asistencia física de los socios o sus representantes, es decir, que autoricen la convocatoria de juntas exclusivamente telemáticas.
• La modificación estatutaria mediante la cual se otorgue dicha autorización deberá ser aprobada por socios que representen al menos dos tercios del capital presente o representado de la reunión. 
• La celebración de la junta exclusivamente telemática estará supeditada en todo caso a que la identidad y legitimación de los socios y de sus representantes se halle debidamente garantizada y a que todos los asistentes puedan participar efectivamente en la reunión mediante medios de comunicación a distancia apropiados, como audio o video, complementados con la posibilidad de mensajes escritos durante el transcurso de la junta, tanto para ejercitar en tiempo real los derechos de palabra, información, propuesta y voto que les correspondan, como para seguir las intervenciones de los demás asistentes por los medios indicados. A tal fin, los administradores deberán implementar las medidas necesarias con arreglo al estado de la técnica y a las circunstancias de la sociedad, especialmente el número de sus socios.
• El anuncio de convocatoria deberá informar de los trámites y procedimientos que habrán de seguirse para el registro y formación de la lista de asistentes, para el ejercicio por estos de sus derechos y para el adecuado reflejo en el acta del desarrollo de la junta. La asistencia no podrá supeditarse en ningún caso a la realización del registro con una antelación superior a una hora antes del comienzo previsto de la reunión.
• Las respuestas a los socios o sus representantes que ejerciten su derecho de información durante la junta se producirán durante la propia reunión o por escrito durante los siete días siguientes a la finalización de la junta.
• La junta exclusivamente telemática se considerará celebrada en el domicilio social con independencia de donde se halle el presidente de la junta.
• En todo lo no previsto en los preceptos anteriores, las juntas exclusivamente telemáticas quedarán reguladas por las reglas generales aplicables a las juntas presenciales, adaptadas en su caso a las especialidades que derivan de su naturaleza.

Sin embargo, es de prever que el voto electrónico se siga generalizando tras la experiencia acumulada en la pandemia y la oferta de soluciones.

Si necesita utilizar un sistema de voto electrónico societario, puede contactar con EADTrust, Prestador de Servicios Electrónicos de Confianza Cualificado, entidad pionera en voto electrónico en empresas, universidades, sindicatos, asociaciones y colegios oficiales con su plataforma Innovoto.

Llame al +34 91 7160555 (Madrid, España)

Firma electrónica indirecta

En ocasiones hay que realizar firmas electrónicas sobre un documento electrónico principal que lleva adjuntos otros documentos electrónicos. Y puede que sea conveniente que alguno o todos los documentos adjuntos estén firmados electrónicamente. El primer documento suele estar en formato PDF y se puede firmar con herramientas como Adobe Acrobat DC (atención, las denominaciones de la firma en Acrobat son confusas: la que hay que usar es la firma basada en certificado).

Una posible solución a la firma de múltiples documentos (en caso de que el procedimiento al que se van a incorporar los documentos lo admita) es incluir en el escrito principal un anexo de firmas indirectas que incluye la relación de documentos electrónicos adjuntos, utilizando para ellos nombres descriptivos que deberán coincidir con los de los propios documentos y, si es posible, de forma que el nombre incluya entre sus primeros caracteres las cifras que componen su número ordinal dentro de la relación de documentos según la preferencia de ordenación del firmante o de quien elabora el escrito.

Para cada fichero es conveniente indicar el tamaño y es preceptivo indicar el valor hash correspondiente al fichero.

En la sección inicial del anexo, antes de incluir la propia tabla que contiene los nombres de los ficheros y sus valores, se debe especificar el formato de hash utilizado, que normalmente será de los tipos SHA-2 o SHA-3, considerando la variante concreta. Por ejemplo «SHA-2 (variante SHA-256)». Conviene indicar la notación empleada. Por ejemplo, «El resultado del valor HASH se expresa en notación hexadecimal», o «El resultado del valor HASH se expresa en notación Base64».

También es conveniente que los valores hash se incluyan en una tipografía de las denominadas  «de espaciado fijo entre caracteres» (en inglés «monospaced») como el tipo de letra Courier que permite apreciar que todas las tiras de caracteres tienen el mismo tamaño (y detectar errores relacionados con la existencia de un número de caracteres mayor o menor del que corresponde).

Para calcular los valores HASH de los ficheros existen diversas herramientas. En sistemas Windows, una de las recomendables por su sencillez es Hashtab disponible originalmente en la web Implbits.

Tras instalar el software, se crea una opción de menú contextual en el Explorador de Windows, de modo que, si pulsamos sobre un fichero con el botón derecho del ratón y a continuación sobre la opción «Propiedades» (la opción que queda abajo del todo) se abre una ventana que contiene una pestaña para los valores hash del documento («Hash de Archivos»).

A continuación se pulsa en la pestaña de la zona superior «Hash de Archivos» y se pueden ver los valores hash del fichero por tipo de algoritmo.

Si se pulsa sobre el enlace «Parámetros» (hacia la mitad de la ventana) se pueden elegir los tipos de hash que se desea que muestre la herramienta.

Este tipo de firmas indirectas puede considerarse similar a las denominadas «separadas» o «acompañantes» («detached» en inglés) ya que los propios documentos no se modifican para incluir las firmas (como en las firmas «attached enveloped») ni se crean estructuras contenedoras de la firma y del documento (como en las firmas «attached enveloping»)

Public Key of Spain CSCA for European digital COVID certificate

In order to configure DGCG (Digital Green Certificate Gateway) participating countries need to deliver information regarding CSCA (Certificate Signing Certificate Authority), and specifically Public Key of the certificate of the CA used to sign the DSC (Document Signing Certificate) of every Body in charge of issuing DGC (Digital Green Certificates) . Remember that Health CSCA is different from CSCA used in Passports although both environments use similar terminology.

Trust List managed by Gateway

The ECC p-256 Public Key of Spain CSCA to be used for European Digital Green Certificates is

—–BEGIN PUBLIC KEY—–MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1rjpdfCTyXE8RdrbW8rbLagURmGQerDBqh0WEaRCaJpqDuqKy0Zs1fXBhSPJQ4334X0TdMAWBIoLnLBC2up9Lg==
—–END PUBLIC KEY—–

Principles regarding validity

• Rule 0: A certificate needs to be valid when it is used to sign/seal.
• Rule 1: The DSC needs to be valid longer than anything it signs. So, the DSC expiry date must be >= than expiration date of the document it signs.
• Rule 2: The CSCA needs to be valid longer than any DSC it signs.
• Rule 3: If any certificate has a shorter ‘key usage period’ – then the signature has to be created in that period.

More info:

• Technical documents of Digital Green Certificates – COVID-19 in eHealth Section of European Commission web site.

Para más información: +34 91716055

INDOTEL aprueba el nuevo marco regulatorio para servicios de certificación digital y confianza en República Dominicana, alineado con el #eIdAS

Mediante la Resolución No. 071-19 del Consejo Directivo INDOTEL aprobó la Norma Complementaria por la que se establece la equivalencia regulatoria del sistema dominicano de Infraestructura de Claves Públicas y de Confianza con los marcos regulatorios internacionales de servicios de confianza, así como la Norma Complementaria sobre Procedimientos de Autorización y Acreditación.

Esta actualización del marco normativo de la Ley 126-02 sobre Comercio Electrónico Documentos y Firmas Digitales se ha desarrollado para modernizar el mercado de servicios electrónicos de confianza de la República Dominicana y para adaptarlo al surgimiento de nuevas tecnologías, de forma tal que sean instrumentos realmente eficientes para la aplicación de los distintos agentes involucrados en la prestación de estos servicios electrónicos.

Por decisión del regulador, la citada normativa está específicamente alineada con las mejores prácticas internacionales en la materia, tomando como referencia el modelo europeo para la prestación de servicios electrónicos de confianza, definido en el Reglamento (UE) N.º910/2014 del Parlamento Europeo y del Consejo, de fecha 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (habitualmente denominado eIDAS) y en los estándares técnicos establecidos en los organismos de normalización como el Instituto Europeo de Normas de Telecomunicación (ETSI) y el Comité Europeo de Normalización (CEN).

Junto con el interés por aprovechar el desarrollo de estándares de la Unión Europea, el nuevo modelo regulatorio enfatiza también su compatibilidad  con otros estándares regionales impulsados por organizaciones como el Foro de Autoridades de Certificación y Programas de Exploración de Internet (CA/B Forum en inglés), que coordina la evolución de los certificados para sitio web de confianza pública, según los tipos acuñados de validación de dominio, validación de organización y validación extendida.

Se espera que la adopción de este nuevo modelo regulatorio,  favorezca  la interoperabilidad internacional, para lo que crea una implementación normativa de referencia que podría estudiarse por otros países, latinoamericanos o no, para facilitar la aplicación del artículo 14 del Reglamento EIDAS y por tanto el establecimiento de listas TSL no solo europeas sino globales.

En resumen, la norma publicada permite a la República Dominicana:

• Ampliar el espectro de servicios de certificación digital que hasta a fecha contemplaba la normativa vigente, para incluir los que se detallan en el Reglamento europeo eIDAS, por ejemplo, servicios de confianza cualificados de: creación de firmas y sellos electrónicos a partir de certificados cualificados y dispositivos de creación de firmas cualificados, o servicios electrónicos de entrega cualificados;
• La ubicación e instrumentación de listas de confianza TSL de prestadores nacionales que, una vez serán cursado el procedimiento previsto en el artículo 14 del Reglamento europeo eIDAS podrán ser incluidos en la lista de confianza europea, con un mecanismo de reciprocidad;
• El reconocimiento mutuo de prestadores cualificados de confianza europeos y prestadores de servicios de confianza dominicanos, consecuencia del procedimiento del artículo 14 citado.;
• Ampliar los servicios de confianza a otros como: servicio cualificados de validación y conservación de firmas cualificadas; servicios cualificados de sellos electrónicos,  y los servicios de certificados para la autenticación de sitios web, etc.; y
• Aumentar la competitividad de las entidades dominicanas de confianza digital favoreciendo su posicionamiento en mercados como los europeos y abriendo los servicios de confianza a un mercado mayor.

Algunos de los aspectos contemplados en la norma son:

• La posibilidad de desarrollar sistemas de identificación remota, por ejemplo los basados en videoconferencia o videograbación.
• La posibilidad de prestar servicios de firma y sello electrónicos a distancia, bajo control del firmante o del titular del sello electrónico
• La posibilidad de que la evaluación de conformidad la pueda realizar un organismo de evaluación de conformidad acreditado por el ODAC (Organismo Dominicano de Acreditación) admitiendo entidades acreditadas por otros organismos de acreditación como los europeos, sin perjuicio de la capacidad inspectora y de auditoría del propio INDOTEL.

En consecuencia, la aprobación de la Resolución No. 071-19 se suma a los desarrollos normativos previos del INDOTEL que siempre han buscado el desarrollo e impulso del comercio electrónico a nivel de la República Dominicana, y que además auspicia un régimen de reconocimiento mutuo entre estados y una mayor interoperabilidad entre prestadores de servicios de confianza a nivel internacional, colaborando en la  armonización de las normas jurídicas y técnicas de los servicios de confianza.

Desde Europa se ve este desarrollo normativo como un gran paso para la interoperabilidad global, y como ejemplo para otros países.

Referencia:

Artículo de D. Cesar Moliné publicado en LinkedIn.

 

Digital por diseño

Va llegando el momento de abandonar el término «transformación digital» que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las «piezas de lego» que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos «en la nube», los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el «soporte duradero» o la «simetría probatoria» (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con «nodos eIDAS» como el español que se instancia a través del sistema «Cl@ve«.