Archivo de la categoría: Firma digital

Electronic signatures in EU Digital COVID Certificates, based on qualified certificates issued by #EIDAS Certification Authorities


To configure DGCG (Digital Green Certificate Gateway) in Digital COVID Certificate project, participating countries provide information regarding Public Key of the certificate of CSCA (Certificate Signing Certificate Authority). Spain uses a ECC #eIDAS Sub-CA as CSCA.

CSCA, as defined in the DGC project, requires the CSCA cert to include the country field for which the CSCA is valid. However, #EIDAS certificates are intended for cross-border interoperability, so the country field in the CA cert is irrelevant to countries in which it is valid.

DGC technical documents should be changed so CSCA of one country could be serviced from a CA in other country. So #EIDAS certification authorities could provide DSC certificates to health bodies in any country. The same principle should be extended to WHO technical documents.

Extended key Usage Identifiers could be present with some information in #EIDAS certificates, so the explanation that the DSC may contain an extended key usage extension with zero or more key usage policy identifiers that constrain the types of HCERTs such DSC certificate may sign, should consider other OIDs as “not present” if the eHealth application doesn´t understand them.

If one or more of the special DGC OIDs are present, the verifiers SHALL verify the extended key usage against the stored HCERT.

In absence of any key usage extension of the special DGC OIDs (i.e. no such special DGC OIDs extensions), the related DSC certificate can be used to sign any type of HCERT.

So, in #EIDAS DSC certificates to be used to electronically sign HCERT, the following OIDs can be used in Extended Key Usage extension fields:

  • OID 1.3.6.1.4.1.1847.2021.1.1 — valid for test
  • OID 1.3.6.1.4.1.1847.2021.1.2 — valid for vaccinations
  • OID 1.3.6.1.4.1.1847.2021.1.3 — valid for recovery

This OIDs can be present if the related EU Digital COVID Certificate is restricted to one of two kind of certificates. If all 3 are included (or none of them) the related EU Digital COVID Certificate is NOT restricted and can reflect any of the three options.

Los servicios de confianza digital y el comercio electrónico en la relación UK-EU tras el Brexit


El borrador del acuerdo de comercio y cooperación entre la Unión Europea y la Comunidad Europea de Energía Atómica, por un lado, y el Reino Unido de Gran Bretaña e Irlanda del Norte por otro, se publicó finalmente el 25 de diciembre de 2020 tras anunciarse la Nochebuena previa que se había alcanzado el acuerdo.

Aunque el borrador está sujeto a cambios menores de redacción, se someterá a ratificación por los gobernos de los paises miembros, y de lograrse, se aplicará a partir del dia 1 de mes siguiente al que se haya producido dicha ratificación y la del Parlamento británico.

Los primeros meses desde el 1 de enero de 2021 pueden ser un poco caóticos salvo que se adopten medidas provisionales, cuestionables desde el punto de vista de la percepción de la soberanía de los países miembros o el Reino Unido solicite un aplazamiento de la fecha límite de vigencia del período de transición. Lo que no se espera, porque da la impresión de que el Primer Ministro británico precisamente pretende demostrar que permanecer en la Unión Europea supone renunciar a un cierto grado de soberanía nacional.

En el acuerdo, a partir de la página 116 el Título III se refiere a las condiciones de Comercio Electrónico (Digital Trade).

TITLE III: DIGITAL TRADE
Chapter 1: General provisions
Article DIGIT.1 Objective


The objective of this Title is to facilitate digital trade, to address unjustified barriers to trade enabled by electronic means and to ensure an open, secure and trustworthy online environment for businesses and consumers.

Article DIGIT.2 Scope

  1. This Title applies to measures of a Party affecting trade enabled by electronic means.
  2. This Title does not apply to audio-visual services.

Article DIGIT.3 Right to regulate


The Parties reaffirm the right to regulate within their territories to achieve legitimate policy objectives, such as the protection of public health, social services, public education, safety, the environment including climate change, public morals, social or consumer protection, privacy and data protection, or the promotion and protection of cultural diversity.

Article DIGIT.4 Exceptions


For greater certainty, nothing in this Title prevents the Parties from adopting or maintaining measures in accordance with Article EXC.1 [General exceptions], Article EXC.4 [Security exceptions] and Article SERVIN.5.39 [Prudential carve-out] for the public interest reasons set out therein.

Article DIGIT.5 Definitions

  1. The definitions in Article SERVIN.1.2 [Definitions] of Title II [Services and investment] of this Heading apply to this Title.
  1. For the purposes of this Title:
    (a) “consumer” means any natural person using a public telecommunications service for other than professional purposes;
    (b) “direct marketing communication” means any form of commercial advertising by which a natural or legal person communicates marketing messages directly to a user via a public telecommunications service and covers at least electronic mail and text and multimedia messages (SMS and MMS);
    (c) “electronic authentication” means an electronic process that enables the confirmation of:
    (i) the electronic identification of a natural or legal person, or
    (ii) the origin and integrity of data in electronic form;
    (d) “electronic registered delivery service” means a service that makes it possible to transmit data between third parties by electronic means and provides evidence relating to the handling of the transmitted data, including proof of sending and receiving the data, and that protects transmitted data against the risk of loss, theft, damage or any unauthorised alterations;
    (e) “electronic seal” means data in electronic form used by a legal person which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity;
    (f) “electronic signature” means data in electronic form which is attached to or logically associated with other data in electronic form that:
    (i) is used by a natural person to agree on the data in electronic form to which it relates; and
    (ii) is linked to the data in electronic form to which it relates in such a way that any subsequent alteration in the data is detectable;
    (g) “electronic time stamp” means data in electronic form which binds other data in electronic form to a particular time establishing evidence that the latter data existed at that time;
    (h) “electronic trust service” means an electronic service consisting of:
    (i) the creation, verification and validation of electronic signatures, electronic seals, electronic time stamps, electronic registered delivery services and certificates related to those services;
    (ii) the creation, verification and validation of certificates for website authentication; or
    (iii) the preservation of electronic signatures, seals or certificates related to those services;
    (i) “government data” means data owned or held by any level of government and by non-governmental bodies in the exercise of powers conferred on them by any level of government;
    (j) “public telecommunications service” means any telecommunications service that is offered to the public generally;
    (k) “user” means any natural or legal person using a public telecommunications service.

Chapter 2: Data flows and personal data protection
Article DIGIT.6 Cross-border data flows

  1. The Parties are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted between the Parties by a Party:
    (a) requiring the use of computing facilities or network elements in the Party’s territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of a Party;
    (b) requiring the localisation of data in the Party’s territory for storage or processing;
    (c) prohibiting the storage or processing in the territory of the other Party; or
    (d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Parties’ territory or upon localisation requirements in the Parties’ territory.
  2. The Parties shall keep the implementation of this provision under review and assess its functioning within three years of the date of entry into force of this Agreement. A Party may at any time propose to the other Party to review the list of restrictions listed in paragraph 1. Such a request shall be accorded sympathetic consideration.

Article DIGIT.7 Protection of personal data and privacy

  1. Each Party recognises that individuals have a right to the protection of personal data and privacy and that high standards in this regard contribute to trust in the digital economy and to the development of trade.
  2. Nothing in this Agreement shall prevent a Party from adopting or maintaining measures on the protection of personal data and privacy, including with respect to cross-border data transfers, provided that the law of the Party provides for instruments enabling transfers under conditions of general application34 for the protection of the data transferred.
  3. Each Party shall inform the other Party about any measure referred to in paragraph 2 that it adopts or maintains.


Chapter 3: Specific provisions
Article DIGIT.8 Customs duties on electronic transmissions

  1. Electronic transmissions shall be considered as the supply of a service within the meaning of Title II [Services and investment] of this Heading.
  2. The Parties shall not impose customs duties on electronic transmissions.

Article DIGIT.9 No prior authorisation

  1. A Party shall not require prior authorisation of the provision of a service by electronic means solely on the ground that the service is provided online, and shall not adopt or maintain any other requirement having an equivalent effect.
  2. A service is provided online when it is provided by electronic means and without the parties being simultaneously present.
  3. Paragraph 1 does not apply to telecommunications services, broadcasting services, gambling services, legal representation services or to the services of notaries or equivalent professions to the extent that they involve a direct and specific connection with the exercise of public authority.


Article DIGIT.10: Conclusion of contracts by electronic means

  1. Each Party shall ensure that contracts may be concluded by electronic means and that its law neither creates obstacles for the use of electronic contracts nor results in contracts being deprived of legal effect and validity solely on the ground that the contract has been made by electronic means.
  2. Paragraph 1 does not apply to the following:
    (a) broadcasting services;
    (b) gambling services;
    (c) legal representation services;
    (d) the services of notaries or equivalent professions involving a direct and specific connection with the exercise of public authority;
    (e) contracts that require witnessing in person;
    (f) contracts that establish or transfer rights in real estate;
    (g) contracts requiring by law the involvement of courts, public authorities or professions exercising public authority;
    (h) contracts of suretyship granted, collateral securities furnished by persons acting for purposes outside their trade, business or profession; or
    (i) contracts governed by family law or by the law of succession.

Article DIGIT.11 Electronic authentication and electronic trust services

  1. A Party shall not deny the legal effect and admissibility as evidence in legal proceedings of an electronic document, an electronic signature, an electronic seal or an electronic time stamp, or of data sent and received using an electronic registered delivery service, solely on the ground that it is in electronic form.
  2. A Party shall not adopt or maintain measures that would:
    (a) prohibit parties to an electronic transaction from mutually determining the appropriate electronic authentication methods for their transaction; or
    (b) prevent parties to an electronic transaction from being able to prove to judicial and administrative authorities that the use of electronic authentication or an electronic trust service in that transaction complies with the applicable legal requirements.
  3. Notwithstanding paragraph 2, a Party may require that for a particular category of transactions, the method of electronic authentication or trust service is certified by an authority accredited in accordance with its law or meets certain performance standards which shall be objective, transparent and non-discriminatory and only relate to the specific characteristics of the category of transactions concerned.

Article DIGIT.12: Transfer of or access to source code

  1. A Party shall not require the transfer of, or access to, the source code of software owned by a natural or legal person of the other Party.
  2. For greater certainty:
    (a) the general exceptions, security exceptions and prudential carve-out referred to in Article DIGIT.4 [Exceptions] apply to measures of a Party adopted or maintained in the context of a certification procedure; and
    (b) paragraph 1 of this Article does not apply to the voluntary transfer of, or granting of access to, source code on a commercial basis by a natural or legal person of the other Party, such as in the context of a public procurement transaction or a freely negotiated contract.
  3. Nothing in this Article shall affect:
    (a) a requirement by a court or administrative tribunal, or a requirement by a competition authority pursuant to a Party’s competition law to prevent or remedy a restriction or a distortion of competition;
    (b) a requirement by a regulatory body pursuant to a Party’s laws or regulations related to the protection of public safety with regard to users online, subject to safeguards against unauthorised disclosure;
    (c) the protection and enforcement of intellectual property rights; and
    (d) the right of a Party to take measures in accordance with Article III of the GPA as incorporated by Article PPROC.2 [Incorporation of certain provisions of the GPA and covered procurement] of Title VI [Public procurement] of this Heading.

Article DIGIT.13 Online consumer trust

  1. Recognising the importance of enhancing consumer trust in digital trade, each Party shall adopt or maintain measures to ensure the effective protection of consumers engaging in electronic commerce transactions, including but not limited to measures that:
    (a) proscribe fraudulent and deceptive commercial practices;
    (b) require suppliers of goods and services to act in good faith and abide by fair commercial practices, including through the prohibition of charging consumers for unsolicited goods and services;
    (c) require suppliers of goods or services to provide consumers with clear and thorough information, including when they act through intermediary service suppliers, regarding their identity and contact details, the transaction concerned, including the main characteristics of the goods or services and the full price inclusive of all applicable charges, and the applicable consumer rights (in the case of intermediary service suppliers, this includes enabling the provision of such information by the supplier of goods or services); and
    (d) grant consumers access to redress for breaches of their rights, including a right to remedies if goods or services are paid for and are not delivered or provided as agreed.
  1. The Parties recognise the importance of entrusting their consumer protection agencies or other relevant bodies with adequate enforcement powers and the importance of cooperation between these agencies in order to protect consumers and enhance online consumer trust.

Article DIGIT.14 Unsolicited direct marketing communications

  1. Each Party shall ensure that users are effectively protected against unsolicited direct marketing communications.
  2. Each Party shall ensure that direct marketing communications are not sent to users who are natural persons unless they have given their consent in accordance with each Party’s laws to receiving such communications.
  3. Notwithstanding paragraph 2, a Party shall allow natural or legal persons who have collected, in accordance with conditions laid down in the law of that Party, the contact details of a user in the context of the supply of goods or services, to send direct marketing communications to that user for their own similar goods or services.
  4. Each Party shall ensure that direct marketing communications are clearly identifiable as such, clearly disclose on whose behalf they are made and contain the necessary information to enable users to request cessation free of charge and at any moment.
  5. Each Party shall provide users with access to redress against suppliers of direct marketing communications that do not comply with the measures adopted or maintained pursuant to paragraphs 1 to 4.

Article DIGIT.15 Open government data

  1. The Parties recognise that facilitating public access to, and use of, government data contributes to stimulating economic and social development, competitiveness, productivity and innovation.
  2. To the extent that a Party chooses to make government data accessible to the public, it shall endeavour to ensure, to the extent practicable, that the data:
    (a) is in a format that allows it to be easily searched, retrieved, used, reused, and redistributed;
    (b) is in a machine-readable and spatially-enabled format;
    (c) contains descriptive metadata, which is as standard as possible;
    (d) is made available via reliable, user-friendly and freely available Application Programming Interfaces;
    (e) is regularly updated;
    (f) is not subject to use conditions that are discriminatory or that unnecessarily restrict re-use; and
    (g) is made available for re-use in full compliance with the Parties’ respective personal data protection rules.
  1. The Parties shall endeavour to cooperate to identify ways in which each Party can expand access to, and use of, government data that the Party has made public, with a view to enhancing and generating business opportunities, beyond its use by the public sector.

Article DIGIT.16 Cooperation on regulatory issues with regard to digital trade

  1. The Parties shall exchange information on regulatory matters in the context of digital trade, which shall address the following:
    (a) the recognition and facilitation of interoperable electronic trust and authentication services;
    (b) the treatment of direct marketing communications;
    (c) the protection of consumers; and
    (d) any other matter relevant for the development of digital trade, including emerging technologies.
  2. Paragraph 1 shall not apply to a Party’s rules and safeguards for the protection of personal data and privacy, including on cross-border transfers of personal data.
    Article DIGIT.17 – Understanding on computer services
  3. The Parties agree that, for the purpose of liberalising trade in services and investment in accordance with Title II [Services and Investment] of this Heading, the following services shall be considered as computer and related services, regardless of whether they are delivered via a network, including the Internet:
    (a) consulting, adaptation, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, support, technical assistance or management of or for computers or computer systems;
    (b) computer programmes defined as the sets of instructions required to make computers work and communicate (in and of themselves), as well as consulting, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, adaptation, maintenance, support, technical assistance, management or use of or for computer programmes;
    (c) data processing, data storage, data hosting or database services;
    (d) maintenance and repair services for office machinery and equipment, including computers; and
    (e) training services for staff of clients, related to computer programmes, computers or computer systems, and not elsewhere classified.
  4. For greater certainty, services enabled by computer and related services, other than those listed in paragraph 1, shall not be regarded as computer and related services in themselves.

Anteproyecto de ley de medidas de eficiencia procesal del servicio público de justicia


El pasado martes, 15 de diciembre de 2020 se aprobó en el Consejo de Ministros, el Anteproyecto de Ley de Medidas de Eficiencia Procesal del Servicio Público de Justicia, impulsado por el Ministerio de Justicia.

La futura Ley promueve una nueva arquitectura jurídica dentro de la Estrategia Justicia 2030, enmarcada y conectada con el Plan de Recuperación, Transformación y Resiliencia y el Plan de la Unión Europea Next Generation, con una mayor digitalización en los procedimientos judiciales y mejoras necesarias tras la experiencia acumulada en las condiciones de la pandemia de la Covid-19.

El Ministro de Justicia, D. Juan Carlos Campo, ha señalado que la futura Ley proporciona “un nuevo instrumento para avanzar en Sistema Público de Justicia, pensando en el ciudadano y poniéndolo en centro de toda la gestión”, que “quiere dar respuesta a desafíos tradicionales, y también a desafíos nuevos, como los que deja ver la pandemia que nos asola”.

La norma se estructura considerando tres ejes.

Medios adecuados de solución de controversias (MASC)

El primero de los tres ejes en los que está estructurado el Anteproyecto es el de la provisión de medios adecuados de solución de controversias (MASC), una medida que, más allá de la coyuntura de ralentización inicial y previsible incremento posterior de la litigiosidad, como consecuencia de la pandemia y la declaración del estado de alarma, se considera imprescindible para la consolidación de un servicio público de Justicia sostenible.

El objetivo de los MASC es recuperar la capacidad negociadora de las partes, con la introducción de mecanismos que rompan la dinámica de la confrontación y la crispación que invade en nuestros tiempos las relaciones sociales.

En ese sentido, el Sr. Campo ha señalado que las diferencias entre los ciudadanos no se “tienen que resolver necesariamente acudiendo a un tribunal de Justicia”, por ello, es necesario, ha añadido, “acometer mecanismos que nos permitan afrontar estas situaciones de conflicto sin llegar al punto final que son los tribunales”.

Para ello, es necesario introducir medidas eficaces que no se degraden ni transformen en meros requisitos burocráticos. Con este fin se ha de potenciar la mediación en todas sus formas e introducir otros mecanismos de acreditada experiencia en el derecho comparado.

El Anteproyecto regula la implantación de los MASC en los asuntos civiles y mercantiles, sin perjuicio de que en el futuro puedan extenderse a otros ámbitos. Para potenciar de manera decidida su utilización, se ha establecido que habrá de acompañarse a la demanda el documento que acredite haberse intentado la actividad negocial previa a la vía judicial como requisito de procedibilidad.

Los MASC que podrán utilizar las partes, se establecen en un catálogo amplio que favorece la libre elección de los mismos. En ese sentido se contempla: la actividad negocial, la conciliación privada, la oferta vinculante confidencial, la opinión del experto independiente, la mediación, así como cualesquiera otros procedimientos previstos en la legislación especial (particularmente en materia de consumo).

Una de las grandes novedades es que la validez que tendrá el acuerdo alcanzado a través del MASC es exactamente el mismo que si es resuelto por un juez. El acuerdo alcanzado tendrá el valor de cosa juzgada para las partes, no pudiendo presentar demanda con igual objeto. Para que tenga valor de título ejecutivo, el acuerdo habrá de ser elevado a escritura públicao bien homologado judicialmente cuando proceda.
Según el ministro, “estas medidas suponen que si se logra que uno de cada cuatro procedimientos civiles termina en un acuerdo entre las partes, el sistema judicial se descargará más de medio millón de procedimientos”.

Esto conlleva, ha señalado Campo, además, “una recanalización de recursos por valor de unos 380 millones de euros al año”, que, revertirían en una mejora sustancial del tratamiento de aquellos asuntos que sí lo necesitan.

Reforma de las leyes procesales

El segundo eje es el de la reforma de leyes procesales, una iniciativa que afecta a todos los órdenes jurisdiccionales. Con ella se garantizan los altos estándares de calidad, se optimizan los recursos existentes, se agilizan los procesos de forma eficiente y eficaz, y se refuerza la seguridad jurídica.

Entre otras medidas, se van a potenciar las sentencias orales en determinados procedimientos como medida de agilización que puede usar el juez, de manera voluntaria, en atención a las concretas circunstancias del proceso.

Del mismo modo, se amplía el ámbito del juicio verbal, más rápido y ágil que el juicio ordinario y sin pérdida de garantías y se modifica en lo necesario su regulación. Se eleva su cuantía y se introducen nuevos procedimientos que podrán tramitarse por sus reglas.

Por otro lado, se introduce el procedimiento testigo y la extensión de efectos para una gestión ágil y eficaz de la litigación en masa en materia de condiciones generales de la contratación, regulándose unos requisitos muy medidos que habrán de concurrir para la posible utilización de ambas técnicas.

Finalmente, se modifica de manera muy relevante el recurso de casación civil, dándole después de 20 años desde la entrada en vigor de la Ley de Enjuiciamiento Civil el tratamiento que reclama su naturaleza de recurso extraordinario.

Reformas procesales para la transformación digital

El tercer eje clave es el que se refiere la transformación digital.

Este avance evitará desplazamientos a las sedes judiciales, reduciendo los costes económicos, ambientales y territoriales. Y permitirá que toda la tramitación sea mucho más ágil.

En este eje de reformas, el ministro de Justicia ha destacado que, se introduce “la regulación de los sistemas de identificación y autenticación para adaptar nuestra legislación a la europea”. Y ha añadido que se “generaliza la celebración de vistas y declaraciones por videoconferencia”.

Del mismo modo, se impulsará un “Registro electrónico de apoderamientos apud acta”, que permitirá el otorgamiento telemático.

En resumen, todas estas medidas mejoran la Administración de Justicia, respondiendo a las recomendaciones de la Unión Europea, que las fija como un elemento en la valoración de la calidad para los sistemas de Justicia. Del mismo modo, sitúa el Servicio Público de Justicia de España dentro de los estándares de calidad y eficacia europeos e internacionales, constatándolo en el Marcador de Justicia Europeo (EU Justice Scoreboard) de 2022.

Proyecto de Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados (OM Telepersonación)


El Reglamento (UE) nº 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE contempla en su artículo 24.1 d) la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física.

En España se ha ido consolidando la percepción de la urgencia de contar con una previsión legal para ello, de lo que ya se ha tratado en este blog en diferentes entradas:

El 4 de noviembre de 2020 el Ministerio de Asuntos Económicos y Transformación Digital remitió un correo electrónico a los prestadores de servicios de certificación y otras entidades interesadas informando sobre la tramitación de la nueva Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados con objeto de desarrollar el artículo 13.6 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, determinando las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado electrónico cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, tal y como prevé el artículo 24.1 d) del Reglamento (UE) 910/2014, del Parlamento y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

El correo electrónicio citado, de acuerdo con el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno invitaba a participar en el proceso de audiencia pública recogido en el portal del Ministerio. con el escaso plazo de una semana que concluyó el 11 de noviembre de 2020.

Además del texto propuesto, se acompañaba al borrador de Orden Ministerial de Telepersonación, su Memoria de Anaálisis de Impacto Normativo:

Se incluye la copia local de los citados docuementos:

El Pleno del Congreso aprueba el Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza


El Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza ha quedado aprobado en ell Congreso el 29/10/2020 una vez votados y ratificados los cambios realizados durante su tramitación en el Senado, con 319 votos a favor, 9 en contra y 19 abstenciones.

La norma, que entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado (BOE), adapta el ordenamiento jurídico español al marco regulatorio de la Unión Europea evitando la existencia de “vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de servicios electrónicos de confianza” y creando otros en los que colisiona con el Reglamento EIDAS. (Reglamento UE 910/2014).

Originalmente, su objetivo era complementar el citado reglamento en aquellos aspectos en los que delega la regulación a los países miembros.

Este Proyecto de Ley regula ciertos aspectos de los nuevos servicios electrónicos de confianza previstos en el Reglamento EIDAS, entre los que se encuentra la firma electrónica de persona física, ya recogida en la normativa española anterior, que ahora se deroga.

Entre los nuevos servicios se incluyen el sello electrónico de persona jurídica, los servicios de validación y conservación de firmas y sellos cualificados, el servicio de entrega electrónica certificada y la expedición de certificados cualificados para servidores web, que habiliten el protocolo de cifrado TSL.

En su artículo 6, uno de los puntos en los que colisiona con el Reglamento EIDAS, establece que el período de vigencia de los certificados electrónicos no será superior a cinco años. La normativa técnica relativa a la criptografía creada en desarrollo del Reglamento permite diferentes duraciones de los certificados , según la robustez de los algoritmos criptográficos.

Enmiendas del Senado

En cuanto a las enmiendas introducidas por el Senado, el Pleno de la Cámara Baja ha aceptado la modificación del apartado 1 del artículo 6 sobre la identidad y atributos de los titulares de los certificados cualificados.

De esta manera, en los supuestos de certificado de firma electrónica y de autenticación de sitios web expedidos a personas físicas, se podrán sustituir el DNI, el número de identidad de extranjero  o número de identificación fiscal por otro código o número identificativo “únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo”. Esta previsión también es contraria al Reglamento EIDAS, ya que la normativa técnica creada en su desarrollo permite utilizar diferentes códigos numéricos asociados a la identidad, como el número de pasaporte, el número de la seguridad social, el número de colegiado o un número de identificación profesional. La posibilidad de usar números diferentes del NIE o del número de DNI era una demanda de la sociedad que lo considera necesario para proteger la privacidad del firmante, y el Congreso aprobó una enmienda en su trámite que lo permitía, pero que fue revertida inexplicablemente en la tramitación de la norma en el Senado.

Del mismo modo, la Cámara Baja ha ratificado los cambios introducidos por el Senado en el artículo 7, apartado 2, que establece que/para que mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante videoconferencia o vídeo-identificación.

El Pleno del Congreso también ha aprobado la modificación realizada por la Cámara Alta en el artículo 7, apartado 4, sobre la comprobación de datos por parte de prestadores de servicios de confianza mediante “documentos públicos, si resultan exigibles”. Es una pena que se haya orillado la mención a documentos privados, considerando el grado de desarrollo de la figura del mandato en España, que coexiste con el poder notarial y que se había incluido en las enmiendas propuestas por el Congreso en la primera fase del trámite parlamentario, revertidas en el Senado.

Asimismo, la Cámara Baja ha ratificado la introducción del artículo 10 sobre la responsabilidad de los prestadores de servicios electrónicos de confianza y el artículo 10 (bis), que modifica las limitaciones de responsabilidad de servicios electrónicos de confianza.

El Pleno del Congreso también ha aprobado la modificación del artículo 11, de modo que los prestadores de servicios de confianza no cualificados figurarán “en una lista diferente” a la de los cualificados con la descripción detallada y clara de las características propias y diferenciales entre unos y otros. Algo que, en realidad, ya está sucediendo y que no precisaba de mención legal expresa.

Los artículos 1 y 2 de la disposición adicional tercera de este Proyecto de Ley también han sido ratificados por el Pleno del Congreso. De este modo, se reconoce que el DNI “es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos”. Este es otro de los errores introducidos en el Senado, al cambiar una enmienda introducida en el Congreso . El DNI electrónico contiene dos certificados cualificados: uno de firma electrónica y otro de autenticación. Todos los certificados cualificados (ya sean de firma, ya sean de autenticación) deben ser válidos para acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos (de firma). Hacer la mención expresa al DNIe puede dar a entender que se trata de un caso singular, y no un caso particular de un concepto general.

Queda un sabor agridulce al finalizar el proceso parlamentario que ha conducido a la aprobación de la Ley. Por lo menos ha quedado derogada la Ley 59/2003 que generaba muchos problemas de interpretación en lo que no coincidía con el Reglamento UE 910/2014.

Pero muchos de los errores de la Ley 59/2003 se mantienen en la nueva Ley.

Una nueva esperanza: el Reglamento EIDAS está en un proceso de revisión que ha pasado en 2020 por una encuesta promovida por la Comisión Europea y que en unos meses dará lugar a un nuevo Reglamento. Una vez se publique el nuevo Reglamento habrá una nueva oportunidad de corregir los errores de la “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza” cuando haya que tramitar la próxima ley. Esperemos que no pasen otros 17 años.

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados


Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”. En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término “Reglamentariamente” puede interpretarse en el sentido de “dictar cuantas disposiciones sean precisas para su desarrollo”, hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir “Reglamentariamente” por “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital” para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”, que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Actualización. En el BOE de 14 de mayo de 2021. Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.

¿Qué sucede cuando un Prestador de Servicios Electrónicos de Confianza cesa su actividad?


En la actualidad ya existen varios tipos de servicios electrónicos de confianza, no solo la emisión de certificados, pero está claro que al menos uno de los problemas a gestionar cuando se deja de ofrecer un servicio de confianza es la revocación de certificados expedidos, y la disponibilidad de esta información para los afectados (titulares de los certificados y terceros que confían en ellos).

La Ley 59/2003de 19 de diciembre, de firma electrónica ,de próxima derogación establece en su artículo 21.3 que, en caso de cese de la actividad de un prestador de servicios de certificación, éste remitirá al Organismo Supervisor (a fecha de este artículo el Ministerio de Asuntos Económicos y Transformación Digital) con carácter previo al cese definitivo de su actividad la información relativa a los certificados electrónicos cuya vigencia haya sido extinguida para que éste se haga cargo de su custodia a efectos de lo previsto en el artículo 20.1.f.

Dicho artículo 20.1.f establece que la información relativa a un certificado “reconocido” (que en la actualidad tras la publicación del Reglamento EIDAS (Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE) se denomina “cualificado“) será custodiada, al menos durante 15 años contados desde el momento de su expedición, de manera que se puedan verificar las firmas realizadas con dicho certificado (serían válidas las firmas codificadas antes de su revocación).

Asimismo, el artículo 21.3 establece que el Organismo Supervisor mantendrá accesible al público un servicio de consulta específico donde figure una indicación sobre los citados certificados durante un período que se considere suficiente en función de las consultas efectuadas al mismo.

Por otro lado y en relación con la prestación de servicios cualificados de confianza, el Reglamento EIDAS obliga a los prestadores cualificados de servicios de confianza a informar al Organismo Supervisor de su intención de cesar la prestación de sus servicios (art. 24.2.a), así como a contar con un plan de cese actualizado para garantizar la continuidad del servicio (art. 24.2.i).

Además, conforme a lo indicado (art. 17.4.i) en el citado Reglamento EIDAS este Organismo Supervisor verifica la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades.

A lo largo del tiempo, en España han ido cesando sus actividades varios Prestadores de Servicios de Confianza, que lo han comunicado al Organismo Supervisor que ha publicado la información que se transcribe a continuación:

Safe Creative S.L.

  • Nombre o Razón Social: Safe Creative S.L.
  • Nombre Comercial: Safe Creative S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 26 de diciembre de 2019

Signen

  • Nombre o Razón Social: Signen Blockchain S.L.
  • Nombre Comercial: Signen
  • Fecha de resolución por la que se acepta la comunicación de cese: 9 de diciembre de 2019

Netfocus

  • Nombre o Razón Social: Hewlett-Packard Española Sociedad Limitada
  • Nombre Comercial: NETFOCUS
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de abril de 2009
  • El período de validez de todos los certificados electrónicos de Netfocus se encuentra expirado

Telefónica Empresas

  • Nombre o Razón Social: Telefónica Data España, S.A.U
  • Nombre Comercial: Telefónica Empresas
  • Fecha de resolución por la que se acepta la comunicación de cese: 29 de junio de 2012
  • Gestión de los certificados transferida al Prestador de Servicios de Certificación: Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal

CertiVer

  • Nombre o Razón Social: Certificate, Verification & Revocation S.L.
  • Nombre Comercial: CertiVer
  • Fecha de resolución por la que se acepta la comunicación de cese: 07 de junio de 2012  

Banesto CA

  • Nombre o Razón Social: Banco Español de Crédito, S.A
  • Nombre Comercial: Banesto CA
  • Fecha de resolución por la que se acepta la comunicación de cese: 05 de junio de 2013
  • El período de validez de todos los certificados electrónicos de Banesto CA se encuentra expirado

Telefónica GGCC (Grandes cuentas)

  • Nombre o Razón Social:   Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal
  • Nombre Comercial: Telefónica GGCC (Grandes cuentas)
  • Fecha de resolución por la que se acepta la comunicación de cese: 18 de marzo de 2014

Lista de certificados revocados (CRL) Telefónica

IpsCA

  • Nombre o Razón Social: IPS Certification Authority S.L.
  • Nombre Comercial: IPSCA
  • Fecha de cese: 10 de octubre de 2014

Autoridad de Sellado de Tiempo iCertia

  • Nombre o Razón Social: Evintia, S.L.
  • Nombre comercial: Autoridad de Sellado de Tiempo iCertia
  • Fecha de resolución por la que se acepta la comunicación de cese: 28 de marzo de 2015 

CICCP

  • Nombre o Razón Social: Colegio de Ingenieros de Caminos, Canales y Puertos
  • Nombre Comercial: CICCP
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de junio de 2015
  • El período de validez de todos los certificados electrónicos de CICCP se encuentra expirado

Healthsign, S.L.

  • Nombre o Razón Social: HEALTHSIGN, S.L.
  • Nombre Comercial: HEALTHSIGN, S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 1 de diciembre de 2015

Lista de certificados revocados (CRL) CODIGI CA

Lista de certificados revocados (CRL) CODILL CA

Lista de certificados revocados (CRL) CODITA CA

Lista de certificados revocados (CRL) COMG CA

Lista de certificados revocados (CRL) COMLL CA

Lista de certificados revocados (CRL) COMT CA

STARTCOM

  • Nombre o Razón Social: STARTCOM CA SPAIN S.L.U.
  • Nombre Comercial: STARTCOM
  • Fecha de recepción del escrito de comunicación de cese: 18 de enero de 2018

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 1

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 2

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 3

Lista de certificados revocados OV

Lista de certificados revocados IV

Lista de certificados revocados EV

Lista de certificados revocados DV

Tractis

  • Nombre o Razón Social: Negonation Platform, S.L.
  • Nombre Comercial: Tractis
  • Fecha de recepción del escrito de comunicación de cese: 21 de marzo de 2018

Banco Santander

  • Nombre o Razón Social: Banco Santander, S.A.
  • Nombre Comercial: Santander
  • Fecha de resolución por la que se acepta la comunicación de cese: 17 de octubre de 2018

Lista de certificados revocados (CRL)

Servicio de Salud de Castilla-La Mancha (SESCAM)

  • Nombre o Razón Social: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Nombre Comercial: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Fecha de cese: 10 de diciembre de 2018

El Ministerio ha publicado información sobre el Procedimiento administrativo para notificar el cese de un prestador.

Actividades de estandarización de los servicios de confianza en ETSI en 2019


El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés “Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report”.

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada “Publicly-Trusted Certificates”, certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521EN 319 531TS 119 524 Part 2TS 119 534 Part 2TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de PlugtestsTM  de validación de firmas digitales (Digital Signature Validation PlugtestsTM ).

 

 

 

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?


Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen (“Respuestas-anteproyecto-Ley-Servicios-Confianza“) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

  • BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
    Iniciativa     texto íntegro     (PDF)
  • BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
    Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.”

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que “Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado”, por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física”.

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales.”

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Material de estudio para la certificación profesional de Auditor EIdAS


Próximamente TCAB publicará más detalles sobre las jornadas de formación previstas en 2020 para la certificación profesional de Auditor EIdAS.

Ya se ha publicado el contenido previsto de la formación pero todavía no se han publicado las fechas para los exámenes de certificación y aspectos como los requisitos para ser Auditor EIdAS en el esquema de TCAB.

Quienes deseen prepararse para esta cualificación profesional pueden descargarse y utilizar como material de estudio las guías publicadas por ENISA.

Aunque el material está en inglés, a continuación se relacionan algunos de los documentos disponibles indicando también la traducción del título al español: