REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
>> martes, 28 de octubre de 2025
Reglamento (UE) del Parlamento Europeo y del Consejo
https://eur-lex.europa.eu/
REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
del 23 de julio de 2014
relativa a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Tras la transmisión del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo ( 1 ) ,
Actuando de conformidad con el procedimiento legislativo ordinario ( 2 ) ,
Mientras que:
(1) | Generar confianza en el entorno digital es clave para el desarrollo económico y social. La falta de confianza, en particular debido a la percepción de falta de seguridad jurídica, hace que consumidores, empresas y autoridades públicas duden en realizar transacciones electrónicas y adoptar nuevos servicios. |
(2) | El presente Reglamento pretende aumentar la confianza en las transacciones electrónicas en el mercado interior proporcionando una base común para la interacción electrónica segura entre ciudadanos, empresas y autoridades públicas, aumentando así la eficacia de los servicios públicos y privados en línea, el comercio electrónico y los negocios electrónicos en la Unión. |
(3) | La Directiva 1999/93/CE del Parlamento Europeo y del Consejo ( 3 ) abordó la firma electrónica sin ofrecer un marco transfronterizo e intersectorial integral para transacciones electrónicas seguras, fiables y fáciles de usar. El presente Reglamento refuerza y amplía el acervo de dicha Directiva. |
(4) | La Comunicación de la Comisión, de 26 de agosto de 2010, titulada «Una Agenda Digital para Europa», identificó la fragmentación del mercado digital, la falta de interoperabilidad y el aumento de la ciberdelincuencia como importantes obstáculos para el ciclo virtuoso de la economía digital. En su Informe sobre la Ciudadanía de la UE de 2010, titulado «Eliminar los obstáculos a los derechos de los ciudadanos de la UE», la Comisión destacó además la necesidad de resolver los principales problemas que impiden a los ciudadanos de la Unión disfrutar de las ventajas de un mercado único digital y de los servicios digitales transfronterizos. |
(5) | En sus conclusiones del 4 de febrero de 2011 y del 23 de octubre de 2011, el Consejo Europeo invitó a la Comisión a crear un mercado único digital para 2015, a avanzar rápidamente en áreas clave de la economía digital y a promover un mercado único digital plenamente integrado facilitando el uso transfronterizo de los servicios en línea, prestando especial atención a la facilitación de la identificación y la autenticación electrónicas seguras. |
(6) | En sus conclusiones del 27 de mayo de 2011, el Consejo invitó a la Comisión a contribuir al mercado único digital creando condiciones adecuadas para el reconocimiento mutuo de elementos facilitadores clave a través de las fronteras, como la identificación electrónica, los documentos electrónicos, las firmas electrónicas y los servicios de entrega electrónica, y para servicios de administración electrónica interoperables en toda la Unión Europea. |
(7) | El Parlamento Europeo, en su Resolución de 21 de septiembre de 2010 sobre la realización del mercado interior del comercio electrónico ( 4 ) , destacó la importancia de la seguridad de los servicios electrónicos, en especial de las firmas electrónicas, y de la necesidad de crear una infraestructura de clave pública a nivel paneuropeo, y pidió a la Comisión que estableciera una pasarela europea de autoridades de validación para garantizar la interoperabilidad transfronteriza de las firmas electrónicas y aumentar la seguridad de las transacciones realizadas a través de Internet. |
(8) | La Directiva 2006/123/CE del Parlamento Europeo y del Consejo ( 5 ) exige a los Estados miembros establecer «ventanillas únicas» (VUP) para garantizar que todos los procedimientos y trámites relativos al acceso a una actividad de servicios y a su ejercicio puedan completarse fácilmente, a distancia y por medios electrónicos, a través de la VUP correspondiente ante las autoridades competentes. Muchos servicios en línea accesibles a través de las VUP requieren identificación, autenticación y firma electrónicas. |
(9) | En la mayoría de los casos, los ciudadanos no pueden utilizar su identificación electrónica para autenticarse en otro Estado miembro porque los sistemas nacionales de identificación electrónica de su país no están reconocidos en otros Estados miembros. Esta barrera electrónica impide que los proveedores de servicios disfruten plenamente de las ventajas del mercado interior. Los medios de identificación electrónica mutuamente reconocidos facilitarán la prestación transfronteriza de numerosos servicios en el mercado interior y permitirán a las empresas operar a nivel transfronterizo sin enfrentarse a numerosos obstáculos en sus interacciones con las autoridades públicas. |
(10) | La Directiva 2011/24/UE del Parlamento Europeo y del Consejo ( 6 ) creó una red de autoridades nacionales responsables de la salud electrónica. Para mejorar la seguridad y la continuidad de la atención sanitaria transfronteriza, la red debe elaborar directrices sobre el acceso transfronterizo a los datos y servicios sanitarios electrónicos, incluyendo el apoyo a «medidas comunes de identificación y autenticación para facilitar la transferibilidad de datos en la atención sanitaria transfronteriza». El reconocimiento mutuo de la identificación y autenticación electrónicas es clave para hacer realidad la atención sanitaria transfronteriza para los ciudadanos europeos. Cuando las personas viajan para recibir tratamiento, sus datos médicos deben ser accesibles en el país de tratamiento. Esto requiere un marco de identificación electrónica sólido, seguro y fiable. |
(11) | El presente Reglamento debe aplicarse en plena conformidad con los principios relativos a la protección de datos personales establecidos en la Directiva 95/46/CE del Parlamento Europeo y del Consejo ( 7 ) . A este respecto, teniendo en cuenta el principio de reconocimiento mutuo establecido por el presente Reglamento, la autenticación para un servicio en línea debe referirse únicamente al tratamiento de los datos de identificación que sean adecuados, pertinentes y no excesivos para permitir el acceso a dicho servicio en línea. Además, los proveedores de servicios de confianza y los organismos de supervisión deben respetar los requisitos de la Directiva 95/46/CE relativos a la confidencialidad y la seguridad del tratamiento. |
(12) | Uno de los objetivos del presente Reglamento es eliminar las barreras existentes al uso transfronterizo de los medios de identificación electrónica empleados en los Estados miembros para la autenticación, al menos en el caso de los servicios públicos. El presente Reglamento no pretende intervenir en relación con los sistemas de gestión de la identidad electrónica ni las infraestructuras conexas establecidas en los Estados miembros. Su objetivo es garantizar que el acceso a los servicios en línea transfronterizos ofrecidos por los Estados miembros sea posible mediante identificación y autenticación electrónicas seguras. |
(13) | Los Estados miembros deben tener la libertad de utilizar o introducir medios de identificación electrónica para acceder a servicios en línea. También deben poder decidir si involucran al sector privado en la prestación de dichos medios. Los Estados miembros no deben estar obligados a notificar sus sistemas de identificación electrónica a la Comisión. La decisión de notificar a la Comisión todos, algunos o ninguno de los sistemas de identificación electrónica utilizados a nivel nacional para acceder, al menos, a servicios públicos en línea o a servicios específicos, corresponde a los Estados miembros. |
(14) | Es necesario establecer algunas condiciones en el presente Reglamento con respecto a qué medios de identificación electrónica deben reconocerse y cómo deben notificarse los sistemas de identificación electrónica. Dichas condiciones deben ayudar a los Estados miembros a generar la confianza necesaria en los sistemas de identificación electrónica de los demás y a reconocer mutuamente los medios de identificación electrónica incluidos en sus sistemas notificados. El principio de reconocimiento mutuo debe aplicarse si el sistema de identificación electrónica del Estado miembro notificante cumple las condiciones de notificación y esta se publicó en el Diario Oficial de la Unión Europea . No obstante, el principio de reconocimiento mutuo solo debe referirse a la autenticación para un servicio en línea. El acceso a dichos servicios en línea y su entrega final al solicitante deben estar estrechamente vinculados al derecho a recibir dichos servicios en las condiciones establecidas en la legislación nacional. |
(15) | La obligación de reconocer los medios de identificación electrónica debe referirse únicamente a aquellos cuyo nivel de garantía de la identidad corresponda a un nivel igual o superior al requerido para el servicio en línea en cuestión. Además, dicha obligación solo debe aplicarse cuando el organismo del sector público en cuestión utilice el nivel de garantía «sustancial» o «alto» en relación con el acceso a dicho servicio en línea. Los Estados miembros deben tener la libertad, de conformidad con el Derecho de la Unión, de reconocer los medios de identificación electrónica con niveles de garantía de la identidad inferiores. |
(16) | Los niveles de seguridad deben caracterizar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, garantizando así que quien afirma una identidad determinada es realmente la persona a la que se le asignó. El nivel de seguridad depende del grado de confianza que proporciona el medio de identificación electrónica en la identidad declarada o declarada de una persona, teniendo en cuenta los procesos (por ejemplo, la comprobación y verificación de la identidad, y la autenticación), las actividades de gestión (por ejemplo, la entidad que emite el medio de identificación electrónica y el procedimiento para emitirlo) y los controles técnicos implementados. Existen diversas definiciones y descripciones técnicas de los niveles de seguridad como resultado de los proyectos piloto a gran escala financiados por la Unión, la normalización y las actividades internacionales. En particular, el proyecto piloto a gran escala STORK y la norma ISO 29115 se refieren, entre otros, a los niveles 2, 3 y 4, que deben tenerse en cuenta en la mayor medida posible al establecer los requisitos técnicos mínimos, las normas y los procedimientos para los niveles de garantía bajo, sustancial y alto en el sentido del presente Reglamento, garantizando al mismo tiempo la aplicación coherente del presente Reglamento, en particular en lo que respecta al nivel de garantía alto relacionado con la verificación de la identidad para la emisión de certificados cualificados. Los requisitos establecidos deben ser tecnológicamente neutros. Debe ser posible alcanzar los requisitos de seguridad necesarios mediante diferentes tecnologías. |
(17) | Los Estados miembros deben alentar al sector privado a utilizar voluntariamente medios de identificación electrónica en virtud de un sistema notificado con fines de identificación cuando sea necesario para servicios en línea o transacciones electrónicas. La posibilidad de utilizar dichos medios de identificación electrónica permitiría al sector privado recurrir a la identificación y autenticación electrónicas ya ampliamente utilizadas en muchos Estados miembros, al menos para los servicios públicos, y facilitaría a las empresas y los ciudadanos el acceso transfronterizo a sus servicios en línea. Para facilitar el uso transfronterizo de dichos medios de identificación electrónica por parte del sector privado, la posibilidad de autenticación proporcionada por cualquier Estado miembro debe estar disponible para las partes usuarias del sector privado establecidas fuera del territorio de dicho Estado miembro en las mismas condiciones que se aplican a las partes usuarias del sector privado establecidas en dicho Estado miembro. Por consiguiente, con respecto a las partes usuarias del sector privado, el Estado miembro notificante puede definir las condiciones de acceso a los medios de autenticación. Dichas condiciones de acceso pueden indicar si los medios de autenticación relacionados con el sistema notificado están actualmente disponibles para las partes usuarias del sector privado. |
(18) | El presente Reglamento debe prever la responsabilidad del Estado miembro notificante, de la parte que emite los medios de identificación electrónica y de la parte que gestiona el procedimiento de autenticación por el incumplimiento de las obligaciones pertinentes en virtud del presente Reglamento. No obstante, el presente Reglamento debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad. Por lo tanto, no afecta a dichas normas nacionales sobre, por ejemplo, la definición de daños y perjuicios o las normas procesales aplicables pertinentes, incluida la carga de la prueba. |
(19) | La seguridad de los sistemas de identificación electrónica es fundamental para el reconocimiento mutuo transfronterizo fiable de los medios de identificación electrónica. En este contexto, los Estados miembros deben cooperar en materia de seguridad e interoperabilidad de los sistemas de identificación electrónica a nivel de la Unión. Cuando los sistemas de identificación electrónica requieran el uso de hardware o software específico por parte de las partes usuarias a nivel nacional, la interoperabilidad transfronteriza exige que dichos Estados miembros no impongan dichos requisitos ni los costes asociados a las partes usuarias establecidas fuera de su territorio. En ese caso, deben debatirse y desarrollarse soluciones adecuadas en el marco de interoperabilidad. No obstante, son inevitables los requisitos técnicos derivados de las especificaciones inherentes a los medios nacionales de identificación electrónica que puedan afectar a los titulares de dichos medios electrónicos (por ejemplo, tarjetas inteligentes). |
(20) | La cooperación entre los Estados miembros debe facilitar la interoperabilidad técnica de los sistemas de identificación electrónica notificados, con el fin de fomentar un alto nivel de confianza y seguridad, adecuado al grado de riesgo. El intercambio de información y de buenas prácticas entre los Estados miembros, con vistas a su reconocimiento mutuo, debe contribuir a dicha cooperación. |
(21) | El presente Reglamento también debe establecer un marco jurídico general para el uso de los servicios de confianza. Sin embargo, no debe crear una obligación general de utilizarlos ni de instalar un punto de acceso para todos los servicios de confianza existentes. En particular, no debe abarcar la prestación de servicios utilizados exclusivamente en sistemas cerrados entre un conjunto definido de participantes, que no tengan efectos sobre terceros. Por ejemplo, los sistemas establecidos en empresas o administraciones públicas para gestionar procedimientos internos que utilicen servicios de confianza no deben estar sujetos a los requisitos del presente Reglamento. Solo los servicios de confianza prestados al público con efectos sobre terceros deben cumplir los requisitos establecidos en el Reglamento. El presente Reglamento tampoco debe abarcar aspectos relacionados con la celebración y validez de contratos u otras obligaciones legales cuando existan requisitos de forma establecidos por el Derecho nacional o de la Unión. Además, no debe afectar a los requisitos de forma nacionales relativos a los registros públicos, en particular los registros mercantiles y de la propiedad. |
(22) | Para contribuir a su uso transfronterizo general, debe ser posible utilizar los servicios de confianza como prueba en procedimientos judiciales en todos los Estados miembros. Corresponde al Derecho nacional definir el efecto jurídico de los servicios de confianza, salvo disposición en contrario del presente Reglamento. |
(23) | En la medida en que el presente Reglamento establezca la obligación de reconocer un servicio de confianza, dicho servicio solo podrá rechazarse si el destinatario de la obligación no puede leerlo o verificarlo por razones técnicas ajenas a su control inmediato. No obstante, dicha obligación no debe exigir, en sí misma, que un organismo público obtenga el hardware y el software necesarios para la legibilidad técnica de todos los servicios de confianza existentes. |
(24) | Los Estados miembros podrán mantener o introducir disposiciones nacionales, de conformidad con el Derecho de la Unión, relativas a los servicios de confianza, siempre que estos no estén plenamente armonizados por el presente Reglamento. No obstante, los servicios de confianza que cumplan lo dispuesto en el presente Reglamento deben circular libremente en el mercado interior. |
(25) | Los Estados miembros deben seguir teniendo libertad para definir otros tipos de servicios de confianza además de los que forman parte de la lista cerrada de servicios de confianza prevista en el presente Reglamento, a efectos de su reconocimiento a nivel nacional como servicios de confianza cualificados. |
(26) | Debido al ritmo del cambio tecnológico, el presente Reglamento debe adoptar un enfoque abierto a la innovación. |
(27) | El presente Reglamento debe ser tecnológicamente neutro. Los efectos jurídicos que otorga deben ser alcanzables por cualquier medio técnico, siempre que se cumplan los requisitos del presente Reglamento. |
(28) | Para aumentar en particular la confianza de las pequeñas y medianas empresas (PYME) y de los consumidores en el mercado interior y promover el uso de servicios y productos de confianza, deben introducirse los conceptos de servicios de confianza cualificados y de proveedor de servicios de confianza cualificado con vistas a indicar los requisitos y obligaciones que garanticen un alto nivel de seguridad de todos los servicios y productos de confianza cualificados que se utilicen o presten. |
(29) | De conformidad con las obligaciones derivadas de la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad, aprobada mediante la Decisión 2010/48/CE del Consejo ( 8 ) , en particular su artículo 9, las personas con discapacidad deben poder utilizar los servicios de confianza y los productos para el usuario final utilizados en la prestación de dichos servicios en igualdad de condiciones con los demás consumidores. Por lo tanto, siempre que sea posible, los servicios de confianza prestados y los productos para el usuario final utilizados en la prestación de dichos servicios deben ser accesibles para las personas con discapacidad. La evaluación de viabilidad debe incluir, entre otras cosas, consideraciones técnicas y económicas. |
(30) | Los Estados miembros deben designar uno o más organismos de supervisión para llevar a cabo las actividades de supervisión previstas en el presente Reglamento. Los Estados miembros también deben poder decidir, de mutuo acuerdo con otro Estado miembro, designar un organismo de supervisión en el territorio de dicho Estado miembro. |
(31) | Los organismos supervisores deben cooperar con las autoridades de protección de datos, por ejemplo, informándoles sobre los resultados de las auditorías realizadas a proveedores de servicios de confianza cualificados en las que se observen infracciones de las normas de protección de datos personales. La información debe abarcar, en particular, los incidentes de seguridad y las violaciones de datos personales. |
(32) | Todos los proveedores de servicios de confianza deberían tener la obligación de aplicar buenas prácticas de seguridad adecuadas a los riesgos relacionados con sus actividades, a fin de aumentar la confianza de los usuarios en el mercado único. |
(33) | Las disposiciones sobre el uso de seudónimos en los certificados no deben impedir que los Estados miembros exijan la identificación de las personas con arreglo al Derecho de la Unión o nacional. |
(34) | Todos los Estados miembros deben seguir requisitos esenciales de supervisión comunes para garantizar un nivel de seguridad comparable de los servicios de confianza cualificados. Para facilitar la aplicación coherente de dichos requisitos en toda la Unión, los Estados miembros deben adoptar procedimientos comparables e intercambiar información sobre sus actividades de supervisión y las mejores prácticas en este ámbito. |
(35) | Todos los proveedores de servicios de confianza deben estar sujetos a los requisitos del presente Reglamento, en particular los relativos a la seguridad y la responsabilidad, a fin de garantizar la debida diligencia, la transparencia y la rendición de cuentas de sus operaciones y servicios. No obstante, teniendo en cuenta el tipo de servicios que prestan, conviene distinguir, en lo que respecta a dichos requisitos, entre proveedores de servicios de confianza cualificados y no cualificados. |
(36) | El establecimiento de un régimen de supervisión para todos los proveedores de servicios de confianza debe garantizar la igualdad de condiciones para la seguridad y la rendición de cuentas de sus operaciones y servicios, contribuyendo así a la protección de los usuarios y al funcionamiento del mercado interior. Los proveedores de servicios de confianza no cualificados deben estar sujetos a una supervisión ex post reactiva y poco rigurosa , justificada por la naturaleza de sus servicios y operaciones. Por lo tanto, el organismo supervisor no debe tener la obligación general de supervisar a los proveedores de servicios no cualificados. El organismo supervisor solo debe actuar cuando se le informe (por ejemplo, por el propio proveedor de servicios de confianza no cualificado, por otro organismo supervisor, mediante una notificación de un usuario o un socio comercial, o sobre la base de su propia investigación) de que un proveedor de servicios de confianza no cualificado no cumple los requisitos del presente Reglamento. |
(37) | El presente Reglamento debe prever la responsabilidad de todos los proveedores de servicios de confianza. En particular, establece el régimen de responsabilidad según el cual todos los proveedores de servicios de confianza deben responder de los daños causados a cualquier persona física o jurídica debido al incumplimiento de las obligaciones establecidas en el presente Reglamento. Para facilitar la evaluación del riesgo financiero que los proveedores de servicios de confianza podrían tener que asumir o que deberían cubrir mediante pólizas de seguro, el presente Reglamento permite a los proveedores de servicios de confianza establecer limitaciones, en determinadas condiciones, al uso de los servicios que prestan y no ser responsables de los daños derivados del uso de servicios que excedan dichas limitaciones. Los clientes deben ser debidamente informados previamente sobre las limitaciones. Dichas limitaciones deben ser reconocibles por un tercero, por ejemplo, incluyendo información sobre las limitaciones en los términos y condiciones del servicio prestado o a través de otros medios reconocibles. A efectos de dar efecto a estos principios, el presente Reglamento debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad. Por lo tanto, el presente Reglamento no afecta a dichas normas nacionales sobre, por ejemplo, la definición de daños, la intención, la negligencia o las normas procesales aplicables pertinentes. |
(38) | La notificación de violaciones de seguridad y evaluaciones de riesgos de seguridad es esencial con el fin de proporcionar información adecuada a las partes interesadas en caso de una violación de seguridad o pérdida de integridad. |
(39) | Para que la Comisión y los Estados miembros puedan evaluar la eficacia del mecanismo de notificación de infracciones introducido por el presente Reglamento, debe solicitarse a los organismos de supervisión que faciliten información resumida a la Comisión y a la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA). |
(40) | Para que la Comisión y los Estados miembros puedan evaluar la eficacia del mecanismo de supervisión reforzada introducido por el presente Reglamento, debe solicitarse a los organismos de supervisión que informen sobre sus actividades. Esto contribuiría decisivamente a facilitar el intercambio de buenas prácticas entre los organismos de supervisión y garantizaría la verificación de la aplicación coherente y eficiente de los requisitos esenciales de supervisión en todos los Estados miembros. |
(41) | Para garantizar la sostenibilidad y durabilidad de los servicios de confianza cualificados y aumentar la confianza de los usuarios en la continuidad de dichos servicios, los organismos supervisores deben verificar la existencia y la correcta aplicación de las disposiciones sobre planes de terminación en los casos en que los proveedores de servicios de confianza cualificados cesen sus actividades. |
(42) | Para facilitar la supervisión de los proveedores de servicios de confianza cualificados, por ejemplo, cuando un proveedor presta sus servicios en el territorio de otro Estado miembro y no está sujeto a supervisión allí, o cuando los ordenadores de un proveedor están ubicados en el territorio de un Estado miembro distinto de aquel en el que está establecido, debe establecerse un sistema de asistencia mutua entre los organismos de supervisión de los Estados miembros. |
(43) | Para garantizar el cumplimiento de los requisitos establecidos en el presente Reglamento por parte de los prestadores cualificados de servicios de confianza y de los servicios que prestan, un organismo de evaluación de la conformidad debe realizar una evaluación de la conformidad, y los informes resultantes deben ser presentados por los prestadores cualificados de servicios de confianza al organismo supervisor. Cuando el organismo supervisor requiera a un prestador cualificado de servicios de confianza la presentación de un informe de evaluación de la conformidad ad hoc, debe respetar, en particular, los principios de buena administración, incluida la obligación de motivar sus decisiones, así como el principio de proporcionalidad. Por consiguiente, el organismo supervisor debe justificar debidamente su decisión de exigir una evaluación de la conformidad ad hoc. |
(44) | El presente Reglamento tiene por objeto garantizar un marco coherente que proporcione un alto nivel de seguridad y certidumbre jurídica a los servicios de confianza. A este respecto, al abordar la evaluación de la conformidad de los productos y servicios, la Comisión debe, cuando proceda, buscar sinergias con los sistemas europeos e internacionales pertinentes existentes, como el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo ( 9 ) , que establece los requisitos para la acreditación de los organismos de evaluación de la conformidad y la vigilancia del mercado de los productos. |
(45) | Para permitir un proceso de iniciación eficiente, que debería conducir a la inclusión de proveedores de servicios de confianza calificados y de los servicios de confianza calificados que prestan en listas de confianza, deberían fomentarse las interacciones preliminares entre los futuros proveedores de servicios de confianza calificados y el organismo supervisor competente con vistas a facilitar la diligencia debida que conduzca a la prestación de servicios de confianza calificados. |
(46) | Las listas de confianza son elementos esenciales para generar confianza entre los operadores del mercado, ya que indican el estatus calificado del proveedor de servicios en el momento de la supervisión. |
(47) | La confianza y la comodidad que ofrecen los servicios en línea son esenciales para que los usuarios se beneficien plenamente de ellos y confíen conscientemente en ellos. Para ello, debe crearse un sello de confianza de la UE que identifique los servicios de confianza cualificados prestados por prestadores de servicios de confianza cualificados. Este sello de confianza de la UE para servicios de confianza cualificados los diferenciaría claramente de otros servicios de confianza, contribuyendo así a la transparencia del mercado. El uso del sello de confianza de la UE por parte de prestadores de servicios de confianza cualificados debe ser voluntario y no debe dar lugar a ningún otro requisito que el previsto en el presente Reglamento. |
(48) | Si bien se necesita un alto nivel de seguridad para garantizar el reconocimiento mutuo de las firmas electrónicas, en casos específicos, como en el contexto de la Decisión 2009/767/CE de la Comisión ( 10 ) , también deben aceptarse firmas electrónicas con una garantía de seguridad menor. |
(49) | El presente Reglamento debe establecer el principio de que no se debe denegar el efecto jurídico de una firma electrónica por estar en formato electrónico o por no cumplir los requisitos de la firma electrónica cualificada. No obstante, corresponde al Derecho nacional definir el efecto jurídico de las firmas electrónicas, salvo los requisitos previstos en el presente Reglamento, según los cuales una firma electrónica cualificada debe tener el mismo efecto jurídico que una firma manuscrita. |
(50) | Dado que las autoridades competentes de los Estados miembros utilizan actualmente distintos formatos de firma electrónica avanzada para firmar electrónicamente sus documentos, es necesario garantizar que los Estados miembros puedan admitir técnicamente al menos varios formatos de firma electrónica avanzada cuando reciban documentos firmados electrónicamente. De igual modo, cuando las autoridades competentes de los Estados miembros utilicen sellos electrónicos avanzados, será necesario garantizar que admitan al menos varios formatos de sello electrónico avanzado. |
(51) | Debería ser posible que el firmante confíe dispositivos cualificados de creación de firmas electrónicas al cuidado de un tercero, siempre que se implementen mecanismos y procedimientos apropiados para garantizar que el firmante tenga control exclusivo sobre el uso de sus datos de creación de firmas electrónicas y que el uso del dispositivo cumpla los requisitos de la firma electrónica cualificada. |
(52) | Se prevé que la creación de firmas electrónicas remotas, cuyo entorno de creación es gestionado por un prestador de servicios de confianza en nombre del firmante, aumente debido a sus múltiples beneficios económicos. Sin embargo, para garantizar que estas firmas electrónicas reciban el mismo reconocimiento legal que las firmas electrónicas creadas en un entorno totalmente gestionado por el usuario, los prestadores de servicios de firma electrónica remota deben aplicar procedimientos específicos de seguridad administrativa y de gestión, y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, para garantizar que el entorno de creación de firmas electrónicas sea fiable y se utilice bajo el control exclusivo del firmante. Cuando se haya creado una firma electrónica cualificada utilizando un dispositivo de creación remota de firmas electrónicas, deben aplicarse los requisitos aplicables a los prestadores de servicios de confianza cualificados establecidos en el presente Reglamento. |
(53) | La suspensión de certificados cualificados es una práctica habitual de los prestadores de servicios de confianza en varios Estados miembros. Esta práctica es distinta de la revocación y conlleva la pérdida temporal de la validez de un certificado. La seguridad jurídica exige que el estado de suspensión de un certificado se indique siempre con claridad. A tal efecto, los prestadores de servicios de confianza deben tener la responsabilidad de indicar claramente el estado del certificado y, en caso de suspensión, el período exacto durante el cual ha permanecido suspendido. El presente Reglamento no debe imponer la suspensión a los prestadores de servicios de confianza ni a los Estados miembros, sino establecer normas de transparencia sobre cuándo y dónde se puede aplicar dicha práctica. |
(54) | La interoperabilidad transfronteriza y el reconocimiento de certificados cualificados son una condición previa para el reconocimiento transfronterizo de firmas electrónicas cualificadas. Por lo tanto, los certificados cualificados no deben estar sujetos a requisitos obligatorios que excedan los establecidos en el presente Reglamento. No obstante, a nivel nacional, debe permitirse la inclusión de atributos específicos, como identificadores únicos, en los certificados cualificados, siempre que dichos atributos específicos no obstaculicen la interoperabilidad transfronteriza y el reconocimiento de certificados cualificados y firmas electrónicas. |
(55) | La certificación de seguridad informática basada en normas internacionales como la ISO 15408, sus métodos de evaluación y acuerdos de reconocimiento mutuo, es una herramienta importante para verificar la seguridad de los dispositivos cualificados de creación de firmas electrónicas y debe promoverse. Sin embargo, soluciones y servicios innovadores, como la firma móvil y la firma en la nube, dependen de soluciones técnicas y organizativas para dispositivos cualificados de creación de firmas electrónicas, para los cuales aún no se dispone de normas de seguridad o para los cuales la primera certificación de seguridad informática está en curso. El nivel de seguridad de dichos dispositivos cualificados de creación de firmas electrónicas podría evaluarse mediante procesos alternativos solo cuando dichas normas de seguridad no estén disponibles o cuando la primera certificación de seguridad informática esté en curso. Dichos procesos deberían ser comparables a los estándares de certificación de seguridad informática, siempre que sus niveles de seguridad sean equivalentes. Estos procesos podrían facilitarse mediante una revisión por pares. |
(56) | El presente Reglamento debe establecer requisitos para los dispositivos cualificados de creación de firmas electrónicas a fin de garantizar la funcionalidad de las firmas electrónicas avanzadas. Este Reglamento no debe abarcar la totalidad del entorno del sistema en el que operan dichos dispositivos. Por lo tanto, el alcance de la certificación de los dispositivos cualificados de creación de firmas debe limitarse al hardware y al software del sistema utilizados para gestionar y proteger los datos de creación de firmas creados, almacenados o procesados en el dispositivo. Como se detalla en las normas pertinentes, el alcance de la obligación de certificación debe excluir las aplicaciones de creación de firmas. |
(57) | Para garantizar la seguridad jurídica en cuanto a la validez de la firma, es esencial especificar los componentes de una firma electrónica cualificada, que deben ser evaluados por la parte que confía en la validación. Además, especificar los requisitos para los proveedores de servicios de confianza cualificados que puedan prestar un servicio de validación cualificada a las partes que confían en la validación de firmas electrónicas cualificadas que no deseen o no puedan realizar ellas mismas la validación de firmas electrónicas cualificadas debería incentivar la inversión en dichos servicios por parte de los sectores público y privado. Ambos elementos deberían facilitar y facilitar la validación de firmas electrónicas cualificadas para todas las partes a nivel de la Unión. |
(58) | Cuando una transacción requiera un sello electrónico cualificado de una persona jurídica, deberá ser igualmente aceptable una firma electrónica cualificada del representante autorizado de la persona jurídica. |
(59) | Los sellos electrónicos deben servir como evidencia de que un documento electrónico fue emitido por una persona jurídica, garantizando la certeza del origen y la integridad del documento. |
(60) | Los proveedores de servicios de confianza que expidan certificados cualificados para sellos electrónicos deberán aplicar las medidas necesarias para poder establecer la identidad de la persona física que representa a la persona jurídica a la que se proporciona el certificado cualificado para el sello electrónico, cuando dicha identificación sea necesaria a nivel nacional en el contexto de procedimientos judiciales o administrativos. |
(61) | El presente Reglamento debe garantizar la conservación a largo plazo de la información, a fin de asegurar la validez jurídica de las firmas electrónicas y los sellos electrónicos durante períodos de tiempo prolongados y garantizar que puedan validarse independientemente de futuros cambios tecnológicos. |
(62) | Para garantizar la seguridad de los sellos de tiempo electrónicos cualificados, el presente Reglamento debe exigir el uso de un sello electrónico avanzado, una firma electrónica avanzada u otros métodos equivalentes. Es previsible que la innovación dé lugar a nuevas tecnologías que garanticen un nivel de seguridad equivalente para los sellos de tiempo. Siempre que se utilice un método distinto de un sello electrónico avanzado o una firma electrónica avanzada, corresponderá al prestador cualificado de servicios de confianza demostrar, en el informe de evaluación de la conformidad, que dicho método garantiza un nivel de seguridad equivalente y cumple las obligaciones establecidas en el presente Reglamento. |
(63) | Los documentos electrónicos son importantes para el desarrollo de las transacciones electrónicas transfronterizas en el mercado interior. El presente Reglamento debe establecer el principio de que no se denieguen los efectos jurídicos de un documento electrónico por estar en formato electrónico, a fin de garantizar que una transacción electrónica no sea rechazada únicamente por este motivo. |
(64) | Al abordar los formatos de firmas y sellos electrónicos avanzados, la Comisión debería basarse en las prácticas, normas y legislación existentes, en particular la Decisión 2011/130/UE de la Comisión ( 11 ) . |
(65) | Además de autenticar el documento emitido por la persona jurídica, los sellos electrónicos pueden utilizarse para autenticar cualquier activo digital de la persona jurídica, como código de software o servidores. |
(66) | Es fundamental establecer un marco jurídico que facilite el reconocimiento transfronterizo entre los ordenamientos jurídicos nacionales vigentes en relación con los servicios de entrega electrónica certificada. Dicho marco también podría generar nuevas oportunidades de mercado para que los proveedores de servicios de confianza de la Unión ofrezcan nuevos servicios paneuropeos de entrega electrónica certificada. |
(67) | Los servicios de autenticación de sitios web proporcionan un medio por el cual un visitante de un sitio web puede tener la seguridad de que existe una entidad genuina y legítima detrás del sitio web. Estos servicios contribuyen a generar confianza en las transacciones comerciales en línea, ya que los usuarios confiarán en un sitio web autenticado. La prestación y el uso de servicios de autenticación de sitios web son totalmente voluntarios. Sin embargo, para que la autenticación de sitios web se convierta en un medio para fomentar la confianza, ofrecer una mejor experiencia al usuario e impulsar el crecimiento del mercado interior, el presente Reglamento debe establecer obligaciones mínimas de seguridad y responsabilidad para los proveedores y sus servicios. Para ello, se han tenido en cuenta los resultados de las iniciativas existentes impulsadas por el sector, por ejemplo, el Foro de Autoridades de Certificación/Navegadores (CA/B Forum). Además, el presente Reglamento no debe impedir el uso de otros medios o métodos para autenticar un sitio web que no esté sujeto al presente Reglamento ni impedir que los proveedores de servicios de autenticación de sitios web de terceros países presten sus servicios a clientes en la Unión. No obstante, los servicios de autenticación de sitios web de un proveedor de un tercer país solo deben ser reconocidos como cualificados de conformidad con el presente Reglamento si se ha celebrado un acuerdo internacional entre la Unión y el país de establecimiento del proveedor. |
(68) | El concepto de «persona jurídica», según las disposiciones del Tratado de Funcionamiento de la Unión Europea (TFUE) sobre establecimiento, otorga a los operadores la libertad de elegir la forma jurídica que consideren adecuada para el ejercicio de su actividad. En consecuencia, se entiende por «persona jurídica», en el sentido del TFUE, toda entidad constituida o regida por la legislación de un Estado miembro, independientemente de su forma jurídica. |
(69) | Se anima a las instituciones, órganos, oficinas y agencias de la Unión a que reconozcan la identificación electrónica y los servicios de confianza contemplados en el presente Reglamento a efectos de cooperación administrativa, aprovechando, en particular, las buenas prácticas existentes y los resultados de los proyectos en curso en los ámbitos contemplados en el presente Reglamento. |
(70) | Para complementar de forma flexible y rápida determinados aspectos técnicos del presente Reglamento, debe delegarse en la Comisión la facultad de adoptar actos con arreglo al artículo 290 del TFUE en lo que respecta a los criterios que deben cumplir los organismos responsables de la certificación de dispositivos cualificados de creación de firmas electrónicas. Es especialmente importante que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, incluso con expertos. Al preparar y elaborar actos delegados, la Comisión debe garantizar la transmisión simultánea, oportuna y adecuada de los documentos pertinentes al Parlamento Europeo y al Consejo. |
(71) | A fin de garantizar condiciones uniformes para la aplicación del presente Reglamento, deben otorgarse a la Comisión competencias de ejecución, en particular para especificar los números de referencia de las normas cuyo uso genere una presunción de cumplimiento de determinados requisitos establecidos en el presente Reglamento. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo ( 12 ) . |
(72) | Al adoptar actos delegados o de ejecución, la Comisión debe tener debidamente en cuenta las normas y especificaciones técnicas elaboradas por las organizaciones y organismos de normalización europeos e internacionales, en particular el Comité Europeo de Normalización (CEN), el Instituto Europeo de Normas de Telecomunicaciones (ETSI), la Organización Internacional de Normalización (ISO) y la Unión Internacional de Telecomunicaciones (UIT), con vistas a garantizar un alto nivel de seguridad e interoperabilidad de la identificación electrónica y los servicios de confianza. |
(73) | Por razones de seguridad jurídica y claridad, procede derogar la Directiva 1999/93/CE. |
(74) | Para garantizar la seguridad jurídica de los operadores del mercado que ya utilizan certificados cualificados expedidos a personas físicas de conformidad con la Directiva 1999/93/CE, es necesario prever un plazo suficiente para la transición. Asimismo, deben establecerse medidas transitorias para los dispositivos seguros de creación de firmas cuya conformidad se haya determinado de conformidad con la Directiva 1999/93/CE, así como para los proveedores de servicios de certificación que expidan certificados cualificados antes del 1 de julio de 2016. Por último, también es necesario dotar a la Comisión de los medios necesarios para adoptar los actos de ejecución y los actos delegados antes de dicha fecha. |
(75) | Las fechas de aplicación establecidas en el presente Reglamento no afectan a las obligaciones existentes que los Estados miembros ya tienen en virtud del Derecho de la Unión, en particular de la Directiva 2006/123/CE. |
(76) | Dado que los objetivos del presente Reglamento no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a la magnitud de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos. |
(77) | El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo ( 13 ) y emitió un dictamen el 27 de septiembre de 2012 ( 14 ) . |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Tema
Con vistas a garantizar el correcto funcionamiento del mercado interior, al tiempo que se aspira a un nivel adecuado de seguridad de los medios de identificación electrónica y de los servicios de confianza, el presente Reglamento:
(a) | establece las condiciones en las que los Estados miembros reconocen los medios de identificación electrónica de las personas físicas y jurídicas incluidas en un sistema de identificación electrónica notificado de otro Estado miembro; |
(b) | establece normas para los servicios de confianza, en particular para las transacciones electrónicas; y |
(do) | Establece un marco legal para las firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, documentos electrónicos, servicios de entrega electrónica certificada y servicios de certificados para la autenticación de sitios web. |
Artículo 2
Alcance
1. El presente Reglamento se aplica a los sistemas de identificación electrónica notificados por un Estado miembro y a los proveedores de servicios de confianza establecidos en la Unión.
2. El presente Reglamento no se aplicará a la prestación de servicios de confianza que se utilicen exclusivamente en sistemas cerrados resultantes del Derecho nacional o de acuerdos entre un conjunto definido de participantes.
3. El presente Reglamento no afectará al Derecho nacional o de la Unión relativo a la celebración y validez de contratos ni a otras obligaciones legales o procesales relativas a la forma.
Artículo 3
Definiciones
A los efectos del presente Reglamento, se aplicarán las siguientes definiciones:
(1) | «identificación electrónica»: el proceso de utilizar datos de identificación de personas en formato electrónico que representen de forma única a una persona física o jurídica, o a una persona física que represente a una persona jurídica; |
(2) | «medio de identificación electrónica» significa una unidad material y/o inmaterial que contiene datos de identificación de una persona y que se utiliza para la autenticación para un servicio en línea; |
(3) | «datos de identificación personal»: un conjunto de datos que permiten establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica; |
(4) | «sistema de identificación electrónica»: un sistema de identificación electrónica en virtud del cual se expiden medios de identificación electrónica a personas físicas o jurídicas, o a personas físicas que representan a personas jurídicas; |
(5) | «autenticación»: un proceso electrónico que permite la identificación electrónica de una persona física o jurídica, o confirmar el origen y la integridad de los datos en formato electrónico; |
(6) | «parte confiante» significa una persona física o jurídica que confía en una identificación electrónica o en un servicio de confianza; |
(7) | «organismo del sector público»: una autoridad estatal, regional o local, un organismo de Derecho público o una asociación formada por una o varias de dichas autoridades o uno o varios de dichos organismos de Derecho público, o una entidad privada encargada por al menos una de dichas autoridades, organismos o asociaciones de prestar servicios públicos, cuando actúe en virtud de dicho mandato; |
(8) | «organismo de Derecho público»: un organismo definido en el artículo 2, apartado 1, punto 4, de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo ( 15 ) ; |
(9) | «firmante» significa una persona física que crea una firma electrónica; |
(10) | «firma electrónica» significa datos en forma electrónica que están adjuntos o asociados lógicamente con otros datos en forma electrónica y que son utilizados por el firmante para firmar; |
(11) | «firma electrónica avanzada»: una firma electrónica que cumple los requisitos establecidos en el artículo 26; |
(12) | «firma electrónica cualificada» significa una firma electrónica avanzada creada mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado para firmas electrónicas; |
(13) | «datos de creación de firma electrónica»: datos únicos que utiliza el firmante para crear una firma electrónica; |
(14) | «certificado de firma electrónica»: una certificación electrónica que vincula los datos de validación de la firma electrónica a una persona física y confirma al menos el nombre o el seudónimo de dicha persona; |
(15) | «certificado cualificado de firma electrónica»: un certificado de firma electrónica emitido por un proveedor de servicios de confianza cualificado y que cumple los requisitos establecidos en el anexo I; |
(16) | «servicio de confianza»: un servicio electrónico prestado normalmente a cambio de una remuneración y que consiste en:
|
(17) | «servicio de confianza cualificado»: un servicio de confianza que cumple los requisitos aplicables establecidos en el presente Reglamento; |
(18) | «organismo de evaluación de la conformidad»: un organismo definido en el artículo 2, punto 13, del Reglamento (CE) n.º 765/2008, que está acreditado de conformidad con dicho Reglamento como competente para llevar a cabo la evaluación de la conformidad de un proveedor de servicios de confianza cualificado y de los servicios de confianza cualificados que presta; |
(19) | «proveedor de servicios fiduciarios»: una persona física o jurídica que presta uno o más servicios fiduciarios, ya sea como proveedor de servicios fiduciarios cualificado o no cualificado; |
(20) | «proveedor de servicios de confianza cualificado»: un proveedor de servicios de confianza que presta uno o más servicios de confianza cualificados y al que el organismo supervisor le concede la condición de cualificado; |
(21) | «producto» significa hardware o software, o componentes relevantes de hardware o software, que están destinados a ser utilizados para la prestación de servicios de confianza; |
(22) | «dispositivo de creación de firma electrónica» significa software o hardware configurado utilizado para crear una firma electrónica; |
(23) | «dispositivo cualificado de creación de firmas electrónicas»: un dispositivo de creación de firmas electrónicas que cumple los requisitos establecidos en el anexo II; |
(24) | «creador de un sello»: una persona jurídica que crea un sello electrónico; |
(25) | «sello electrónico»: datos en formato electrónico que se adjuntan o se asocian lógicamente con otros datos en formato electrónico para garantizar el origen y la integridad de estos últimos; |
(26) | «sello electrónico avanzado»: un sello electrónico que cumple los requisitos establecidos en el artículo 36; |
(27) | «sello electrónico cualificado»: un sello electrónico avanzado, creado mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello electrónico; |
(28) | «datos de creación del sello electrónico»: datos únicos que utiliza el creador del sello electrónico para crear un sello electrónico; |
(29) | «certificado de sello electrónico»: una certificación electrónica que vincula los datos de validación del sello electrónico a una persona jurídica y confirma el nombre de dicha persona; |
(30) | «certificado cualificado de sello electrónico»: un certificado de sello electrónico emitido por un proveedor de servicios de confianza cualificado y que cumple los requisitos establecidos en el anexo III; |
(31) | «dispositivo de creación de sello electrónico» significa software o hardware configurado utilizado para crear un sello electrónico; |
(32) | «dispositivo cualificado de creación de sellos electrónicos»: un dispositivo de creación de sellos electrónicos que cumple mutatis mutandis los requisitos establecidos en el anexo II; |
(33) | «sello de tiempo electrónico» significa datos en formato electrónico que vinculan otros datos en formato electrónico a un momento determinado, estableciendo evidencia de que estos últimos datos existían en ese momento; |
(34) | «sello de tiempo electrónico cualificado»: un sello de tiempo electrónico que cumple los requisitos establecidos en el artículo 42; |
(35) | «documento electrónico»: cualquier contenido almacenado en forma electrónica, en particular texto o grabación sonora, visual o audiovisual; |
(36) | «servicio de entrega electrónica certificada»: un servicio que permite transmitir datos entre terceros por medios electrónicos y proporciona pruebas relativas al tratamiento de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos contra el riesgo de pérdida, robo, daño o cualquier alteración no autorizada; |
(37) | «servicio de entrega electrónica certificada cualificada»: un servicio de entrega electrónica certificada que cumple los requisitos establecidos en el artículo 44; |
(38) | «certificado de autenticación de sitios web»: una certificación que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a la que se expide el certificado; |
(39) | «certificado cualificado para la autenticación de sitios web»: un certificado para la autenticación de sitios web emitido por un proveedor de servicios de confianza cualificado y que cumple los requisitos establecidos en el anexo IV; |
(40) | «datos de validación» significa datos que se utilizan para validar una firma electrónica o un sello electrónico; |
(41) | «validación» significa el proceso de verificar y confirmar que una firma electrónica o un sello es válido. |
Artículo 4
Principio del mercado interior
1. No se restringirá la prestación de servicios de confianza en el territorio de un Estado miembro por un proveedor de servicios de confianza establecido en otro Estado miembro por motivos que entren en los ámbitos regulados por el presente Reglamento.
2. Los productos y servicios de confianza que cumplan lo dispuesto en el presente Reglamento podrán circular libremente en el mercado interior.
Artículo 5
Tratamiento y protección de datos
1. El tratamiento de datos personales se realizará de conformidad con la Directiva 95/46/CE.
2. Sin perjuicio del efecto jurídico reconocido a los seudónimos por el Derecho nacional, no se prohibirá el uso de seudónimos en las transacciones electrónicas.
CAPÍTULO II
IDENTIFICACIÓN ELECTRÓNICA
Artículo 6
Reconocimiento mutuo
1. Cuando la legislación nacional o la práctica administrativa exijan una identificación electrónica que utilice un medio de identificación electrónica y autenticación para acceder a un servicio prestado en línea por un organismo del sector público en un Estado miembro, el medio de identificación electrónica emitido en otro Estado miembro será reconocido en el primer Estado miembro a efectos de autenticación transfronteriza para dicho servicio en línea, siempre que se cumplan las siguientes condiciones:
(a) | el medio de identificación electrónica se emite bajo un esquema de identificación electrónica que está incluido en la lista publicada por la Comisión de conformidad con el artículo 9; |
(b) | el nivel de garantía de los medios de identificación electrónica corresponda a un nivel de garantía igual o superior al nivel de garantía requerido por el organismo del sector público pertinente para acceder a dicho servicio en línea en el primer Estado miembro, siempre que el nivel de garantía de dichos medios de identificación electrónica corresponda a un nivel de garantía sustancial o elevado; |
(do) | el organismo del sector público pertinente utiliza el nivel de garantía sustancial o alto en relación con el acceso a ese servicio en línea. |
Dicho reconocimiento se producirá a más tardar doce meses después de que la Comisión publique la lista a que se refiere la letra a) del párrafo primero.
2. Un medio de identificación electrónica emitido con arreglo a un sistema de identificación electrónica incluido en la lista publicada por la Comisión de conformidad con el artículo 9 y que corresponda al nivel de seguridad bajo podrá ser reconocido por los organismos del sector público a efectos de autenticación transfronteriza para el servicio prestado en línea por dichos organismos.
Artículo 7
Elegibilidad para la notificación de esquemas de identificación electrónica
Un sistema de identificación electrónica será elegible para notificación de conformidad con el artículo 9(1) siempre que se cumplan todas las condiciones siguientes:
(a) | Los medios de identificación electrónica en el marco del sistema de identificación electrónica se emiten:
|
(b) | los medios de identificación electrónica en el marco del sistema de identificación electrónica pueden utilizarse para acceder a al menos un servicio prestado por un organismo del sector público y que requiere identificación electrónica en el Estado miembro notificante; |
(do) | el sistema de identificación electrónica y los medios de identificación electrónica expedidos con arreglo al mismo cumplen los requisitos de al menos uno de los niveles de garantía establecidos en el acto de ejecución a que se refiere el artículo 8, apartado 3; |
(d) | el Estado miembro notificante garantiza que los datos de identificación personal que representan de forma única a la persona en cuestión se atribuyen, de conformidad con las especificaciones técnicas, las normas y los procedimientos para el nivel de garantía pertinente establecido en el acto de ejecución a que se refiere el artículo 8, apartado 3, a la persona física o jurídica a que se refiere el artículo 3, punto 1, en el momento en que se expiden los medios de identificación electrónica con arreglo a dicho sistema; |
(mi) | la parte que emite los medios de identificación electrónica con arreglo a dicho sistema garantiza que dichos medios se atribuyen a la persona a que se refiere la letra d) del presente artículo de conformidad con las especificaciones técnicas, normas y procedimientos para el nivel de garantía pertinente establecido en el acto de ejecución a que se refiere el artículo 8, apartado 3; |
(F) | El Estado miembro notificante garantiza la disponibilidad de la autenticación en línea, de modo que cualquier parte que confíe en el territorio de otro Estado miembro pueda confirmar los datos de identificación de la persona recibidos en formato electrónico. Para las partes usuarias que no sean organismos del sector público, el Estado miembro notificante podrá definir las condiciones de acceso a dicha autenticación. La autenticación transfronteriza será gratuita cuando se realice en relación con un servicio en línea prestado por un organismo del sector público. Los Estados miembros no impondrán requisitos técnicos específicos desproporcionados a las partes confiantes que pretendan llevar a cabo dicha autenticación, cuando dichos requisitos impidan o dificulten significativamente la interoperabilidad de los sistemas de identificación electrónica notificados; |
(gramo) | al menos seis meses antes de la notificación con arreglo al artículo 9, apartado 1, el Estado miembro notificante proporcionará a los demás Estados miembros, a efectos de la obligación prevista en el artículo 12, apartado 5, una descripción de dicho régimen de conformidad con las disposiciones de procedimiento establecidas por los actos de ejecución a que se refiere el artículo 12, apartado 7; |
(h) | el sistema de identificación electrónica cumple los requisitos establecidos en el acto de ejecución a que se refiere el artículo 12, apartado 8. |
Artículo 8
Niveles de seguridad de los sistemas de identificación electrónica
1. Un sistema de identificación electrónica notificado de conformidad con el artículo 9(1) especificará niveles de garantía bajo, sustancial y/o alto para los medios de identificación electrónica emitidos con arreglo a dicho sistema.
2. Los niveles de garantía bajo, sustancial y alto deberán cumplir respectivamente los siguientes criterios:
(a) | nivel de seguridad bajo se referirá a un medio de identificación electrónica en el contexto de un sistema de identificación electrónica, que proporciona un grado limitado de confianza en la identidad declarada o afirmada de una persona, y se caracteriza con referencia a especificaciones técnicas, normas y procedimientos relacionados con el mismo, incluidos controles técnicos, cuyo propósito es disminuir el riesgo de mal uso o alteración de la identidad; |
(b) | nivel de seguridad sustancial se referirá a un medio de identificación electrónica en el contexto de un sistema de identificación electrónica, que proporciona un grado sustancial de confianza en la identidad declarada o afirmada de una persona, y se caracteriza con referencia a especificaciones técnicas, normas y procedimientos relacionados con el mismo, incluidos controles técnicos, cuyo propósito es disminuir sustancialmente el riesgo de mal uso o alteración de la identidad; |
(do) | El nivel de seguridad alto se referirá a un medio de identificación electrónica en el contexto de un sistema de identificación electrónica que proporciona un mayor grado de confianza en la identidad declarada o afirmada de una persona que los medios de identificación electrónica con un nivel de seguridad sustancial, y se caracteriza con referencia a especificaciones técnicas, normas y procedimientos relacionados con el mismo, incluidos controles técnicos, cuyo propósito es prevenir el uso indebido o la alteración de la identidad. |
3. A más tardar el 18 de septiembre de 2015, teniendo en cuenta las normas internacionales pertinentes y sin perjuicio de lo dispuesto en el apartado 2, la Comisión, mediante actos de ejecución, establecerá especificaciones técnicas mínimas, normas y procedimientos con referencia a los cuales se especificarán los niveles de garantía bajo, sustancial y alto para los medios de identificación electrónica a efectos del apartado 1.
Dichas especificaciones técnicas, normas y procedimientos mínimos se establecerán en función de la fiabilidad y calidad de los siguientes elementos:
(a) | el procedimiento para acreditar y verificar la identidad de las personas físicas o jurídicas que soliciten la expedición de medios de identificación electrónica; |
(b) | el procedimiento para la expedición del medio de identificación electrónica solicitado; |
(do) | el mecanismo de autenticación, mediante el cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad ante una parte confiada; |
(d) | la entidad emisora del medio de identificación electrónica; |
(mi) | cualquier otro organismo que intervenga en la solicitud de expedición de los medios de identificación electrónica; y |
(F) | las especificaciones técnicas y de seguridad de los medios de identificación electrónica emitidos. |
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 9
Notificación
1. El Estado miembro notificante notificará a la Comisión la siguiente información y, sin demora indebida, cualquier modificación posterior de la misma:
(a) | una descripción del sistema de identificación electrónica, incluidos sus niveles de garantía y el emisor o emisores de medios de identificación electrónica conforme al sistema; |
(b) | el régimen de supervisión aplicable y la información sobre el régimen de responsabilidad respecto de lo siguiente:
|
(do) | la autoridad o autoridades responsables del sistema de identificación electrónica; |
(d) | información sobre la entidad o entidades que gestionan el registro de los datos únicos de identificación de personas; |
(mi) | una descripción de cómo se cumplen los requisitos establecidos en los actos de ejecución a que se refiere el artículo 12, apartado 8; |
(F) | una descripción de la autenticación a que se refiere la letra f) del artículo 7; |
(gramo) | disposiciones para la suspensión o revocación del sistema de identificación electrónica o autenticación notificado o de las partes comprometidas en cuestión. |
2. Un año después de la fecha de aplicación de los actos de ejecución a que se refieren el artículo 8, apartado 3, y el artículo 12, apartado 8, la Comisión publicará en el Diario Oficial de la Unión Europea una lista de los sistemas de identificación electrónica notificados con arreglo al apartado 1 del presente artículo y la información básica al respecto.
3. Si la Comisión recibe una notificación una vez expirado el plazo a que se refiere el apartado 2, publicará en el Diario Oficial de la Unión Europea las modificaciones de la lista a que se refiere el apartado 2 en el plazo de dos meses a partir de la fecha de recepción de dicha notificación.
4. Un Estado miembro podrá presentar a la Comisión una solicitud para retirar un sistema de identificación electrónica notificado por dicho Estado miembro de la lista a que se refiere el apartado 2. La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista en el plazo de un mes a partir de la fecha de recepción de la solicitud del Estado miembro.
5. La Comisión podrá, mediante actos de ejecución, definir las circunstancias, formatos y procedimientos de las notificaciones a que se refiere el apartado 1. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 10
Violación de seguridad
1. Cuando el sistema de identificación electrónica notificado con arreglo al artículo 9, apartado 1, o la autenticación a que se refiere el artículo 7, letra f), se violen o se vean parcialmente comprometidos de forma que afecten a la fiabilidad de la autenticación transfronteriza de dicho sistema, el Estado miembro notificante suspenderá o revocará sin demora dicha autenticación transfronteriza o las partes comprometidas en cuestión, e informará a los demás Estados miembros y a la Comisión.
2. Cuando se subsane la infracción o la vulneración a que se refiere el apartado 1, el Estado miembro notificante restablecerá la autenticación transfronteriza e informará a los demás Estados miembros y a la Comisión sin demora indebida.
3. Si el incumplimiento o la vulneración a que se refiere el apartado 1 no se subsana en el plazo de tres meses a partir de la suspensión o revocación, el Estado miembro notificante notificará a los demás Estados miembros y a la Comisión la retirada del sistema de identificación electrónica.
La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 9, apartado 2, sin demora indebida.
Artículo 11
Responsabilidad
1. El Estado miembro notificante será responsable de los daños causados intencionalmente o por negligencia a cualquier persona física o jurídica debido al incumplimiento de sus obligaciones en virtud del artículo 7, letras d) y f), en una transacción transfronteriza.
2. La parte que expida los medios de identificación electrónica será responsable de los daños causados intencionadamente o por negligencia a cualquier persona física o jurídica debido al incumplimiento de la obligación a que se refiere la letra e) del artículo 7 en una transacción transfronteriza.
3. La parte que gestione el procedimiento de autenticación será responsable de los daños causados intencionalmente o por negligencia a cualquier persona física o jurídica debido a la falta de garantía del correcto funcionamiento de la autenticación a que se refiere el artículo 7, letra f), en una transacción transfronteriza.
4. Los apartados 1, 2 y 3 se aplicarán de conformidad con las normas nacionales en materia de responsabilidad.
5. Los apartados 1, 2 y 3 se entenderán sin perjuicio de la responsabilidad con arreglo al Derecho nacional de las partes en una transacción en la que se utilicen medios de identificación electrónica incluidos en el sistema de identificación electrónica notificado de conformidad con el artículo 9, apartado 1.
Artículo 12
Cooperación e interoperabilidad
1. Los sistemas nacionales de identificación electrónica notificados de conformidad con el artículo 9, apartado 1, serán interoperables.
2. A los efectos del apartado 1, se establecerá un marco de interoperabilidad.
3. El marco de interoperabilidad deberá cumplir los siguientes criterios:
(a) | Su objetivo es ser neutral desde el punto de vista tecnológico y no discrimina entre ninguna solución técnica nacional específica para la identificación electrónica dentro de un Estado miembro; |
(b) | sigue los estándares europeos e internacionales, siempre que sea posible; |
(do) | facilita la implementación del principio de privacidad desde el diseño; y |
(d) | garantiza que los datos personales se procesen de conformidad con la Directiva 95/46/CE. |
4. El marco de interoperabilidad constará de:
(a) | una referencia a los requisitos técnicos mínimos relacionados con los niveles de garantía conforme al artículo 8; |
(b) | una correspondencia entre los niveles de garantía nacionales de los sistemas de identificación electrónica notificados y los niveles de garantía previstos en el artículo 8; |
(do) | una referencia a los requisitos técnicos mínimos para la interoperabilidad; |
(d) | una referencia a un conjunto mínimo de datos de identificación personal que representen de forma única a una persona física o jurídica y que estén disponibles en sistemas de identificación electrónica; |
(mi) | reglamento interno; |
(F) | acuerdos para la resolución de disputas; y |
(gramo) | normas comunes de seguridad operacional. |
5. Los Estados miembros cooperarán en lo que respecta a lo siguiente:
(a) | la interoperabilidad de los sistemas de identificación electrónica notificados de conformidad con el artículo 9, apartado 1, y los sistemas de identificación electrónica que los Estados miembros tengan intención de notificar; y |
(b) | la seguridad de los sistemas de identificación electrónica. |
6. La cooperación entre los Estados miembros consistirá en:
(a) | el intercambio de información, experiencias y buenas prácticas en lo que respecta a los sistemas de identificación electrónica y, en particular, a los requisitos técnicos relacionados con la interoperabilidad y los niveles de garantía; |
(b) | el intercambio de información, experiencias y buenas prácticas en lo que respecta al trabajo con los niveles de garantía de los sistemas de identificación electrónica de conformidad con el artículo 8; |
(do) | revisión por pares de los sistemas de identificación electrónica incluidos en el ámbito de aplicación del presente Reglamento; y |
(d) | Examen de los avances relevantes en el sector de la identificación electrónica. |
7. A más tardar el 18 de marzo de 2015, la Comisión, mediante actos de ejecución, establecerá las disposiciones de procedimiento necesarias para facilitar la cooperación entre los Estados miembros a que se refieren los apartados 5 y 6, con vistas a fomentar un alto nivel de confianza y seguridad adecuado al grado de riesgo.
8. A más tardar el 18 de septiembre de 2015, a fin de establecer condiciones uniformes para la aplicación del requisito del apartado 1, la Comisión, con arreglo a los criterios establecidos en el apartado 3 y teniendo en cuenta los resultados de la cooperación entre los Estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad según lo establecido en el apartado 4.
9. Los actos de ejecución a que se refieren los apartados 7 y 8 del presente artículo se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
CAPÍTULO III
SERVICIOS DE CONFIANZA
SECCIÓN 1
Disposiciones generales
Artículo 13
Responsabilidad y carga de la prueba
1. Sin perjuicio de lo dispuesto en el apartado 2, los proveedores de servicios de confianza serán responsables de los daños causados intencionalmente o por negligencia a cualquier persona física o jurídica debido al incumplimiento de las obligaciones establecidas en el presente Reglamento.
La carga de la prueba de la intención o negligencia de un proveedor de servicios de confianza no cualificado recaerá sobre la persona física o jurídica que reclame el daño a que se refiere el párrafo primero.
Se presumirá la intención o negligencia de un proveedor de servicios de confianza cualificado a menos que dicho proveedor de servicios de confianza cualificado demuestre que el daño a que se refiere el párrafo primero se produjo sin intención o negligencia de dicho proveedor.
2. Cuando los proveedores de servicios de confianza informen debidamente y con antelación a sus clientes de las limitaciones en el uso de los servicios que prestan y dichas limitaciones sean reconocibles para terceros, los proveedores de servicios de confianza no serán responsables de los daños derivados del uso de los servicios que exceda las limitaciones indicadas.
3. Los apartados 1 y 2 se aplicarán de conformidad con las normas nacionales en materia de responsabilidad.
Artículo 14
Aspectos internacionales
1. Los servicios de confianza prestados por proveedores de servicios de confianza establecidos en un tercer país se reconocerán como jurídicamente equivalentes a los servicios de confianza cualificados prestados por proveedores de servicios de confianza cualificados establecidos en la Unión cuando los servicios de confianza originarios del tercer país estén reconocidos en virtud de un acuerdo celebrado entre la Unión y el tercer país en cuestión o una organización internacional de conformidad con el artículo 218 del TFUE.
2. Los acuerdos a que se refiere el apartado 1 garantizarán, en particular, que:
(a) | los requisitos aplicables a los proveedores de servicios de confianza cualificados establecidos en la Unión y los servicios de confianza cualificados que prestan son cumplidos por los proveedores de servicios de confianza del tercer país o las organizaciones internacionales con los que se celebra el acuerdo, así como por los servicios de confianza que prestan; |
(b) | Los servicios de confianza cualificados prestados por proveedores de servicios de confianza cualificados establecidos en la Unión se reconocen como jurídicamente equivalentes a los servicios de confianza prestados por proveedores de servicios de confianza del tercer país o la organización internacional con los que se celebra el acuerdo. |
Artículo 15
Accesibilidad para personas con discapacidad
Cuando sea posible, los servicios de confianza prestados y los productos para el usuario final utilizados en la prestación de esos servicios deberán ser accesibles para las personas con discapacidad.
Artículo 16
Sanciones
Los Estados miembros establecerán el régimen de sanciones aplicable a las infracciones del presente Reglamento. Las sanciones previstas serán efectivas, proporcionadas y disuasorias.
SECCIÓN 2
Supervisión
Artículo 17
Órgano de supervisión
1. Los Estados miembros designarán un organismo de supervisión establecido en su territorio o, de común acuerdo con otro Estado miembro, un organismo de supervisión establecido en ese otro Estado miembro. Dicho organismo será responsable de las funciones de supervisión en el Estado miembro designante.
Los órganos de control dispondrán de los poderes necesarios y de los recursos adecuados para el ejercicio de sus funciones.
2. Los Estados miembros notificarán a la Comisión los nombres y las direcciones de sus respectivos organismos de supervisión designados.
3. La función del órgano de control será la siguiente:
(a) | supervisar a los proveedores de servicios de confianza cualificados establecidos en el territorio del Estado miembro designante para garantizar, mediante actividades de supervisión ex ante y ex post , que dichos proveedores de servicios de confianza cualificados y los servicios de confianza cualificados que prestan cumplen los requisitos establecidos en el presente Reglamento; |
(b) | adoptar medidas, si es necesario, en relación con los proveedores de servicios de confianza no cualificados establecidos en el territorio del Estado miembro designante, mediante actividades de supervisión ex post , cuando se les informe de que dichos proveedores de servicios de confianza no cualificados o los servicios de confianza que prestan supuestamente no cumplen los requisitos establecidos en el presente Reglamento. |
4. A los efectos del apartado 3 y con sujeción a las limitaciones previstas en el mismo, las funciones del organismo de supervisión incluirán, en particular:
(a) | cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con el artículo 18; |
(b) | analizar los informes de evaluación de la conformidad a que se refieren los artículos 20, apartado 1, y 21, apartado 1; |
(do) | informar a otros organismos de control y al público sobre violaciones de seguridad o pérdida de integridad de conformidad con el artículo 19(2); |
(d) | informar a la Comisión sobre sus principales actividades de conformidad con el párrafo 6 del presente artículo; |
(mi) | realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de los proveedores de servicios de confianza cualificados de conformidad con el artículo 20(2); |
(F) | cooperar con las autoridades de protección de datos, en particular informándoles sin demora indebida sobre los resultados de las auditorías de los proveedores de servicios de confianza cualificados, cuando parezca que se han infringido las normas de protección de datos personales; |
(gramo) | otorgar el estatus calificado a los proveedores de servicios de confianza y a los servicios que prestan y retirar dicho estatus de conformidad con los artículos 20 y 21; |
(h) | informar al organismo responsable de la lista nacional de confianza a que se refiere el artículo 22(3) sobre sus decisiones de conceder o retirar la condición de cualificado, a menos que dicho organismo sea también el organismo supervisor; |
(i) | verificar la existencia y correcta aplicación de las disposiciones sobre planes de terminación en los casos en que el proveedor de servicios de confianza cualificado cese sus actividades, incluido el modo en que se mantiene accesible la información de conformidad con el artículo 24(2), letra h); |
(j) | exigir que los proveedores de servicios de confianza subsanen cualquier incumplimiento de los requisitos establecidos en el presente Reglamento. |
5. Los Estados miembros podrán exigir al organismo de supervisión que establezca, mantenga y actualice una infraestructura fiduciaria de conformidad con las condiciones establecidas en el Derecho nacional.
6. A más tardar el 31 de marzo de cada año, cada organismo de supervisión presentará a la Comisión un informe sobre las principales actividades del año natural anterior, junto con un resumen de las notificaciones de infracciones recibidas de los proveedores de servicios de confianza, de conformidad con el artículo 19, apartado 2.
7. La Comisión pondrá a disposición de los Estados miembros el informe anual a que se refiere el apartado 6.
8. La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos del informe a que se refiere el apartado 6. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 18
Asistencia mutua
1. Los organismos de supervisión cooperarán con vistas al intercambio de buenas prácticas.
Un organismo de supervisión, tras recibir una solicitud justificada de otro organismo de supervisión, le prestará asistencia para que sus actividades se lleven a cabo de forma coherente. La asistencia mutua podrá abarcar, en particular, solicitudes de información y medidas de supervisión, como las solicitudes de realización de inspecciones relacionadas con los informes de evaluación de la conformidad a que se refieren los artículos 20 y 21.
2. Un organismo de control al que se dirija una solicitud de asistencia podrá denegar dicha solicitud por cualquiera de los motivos siguientes:
(a) | el organismo de control no es competente para prestar la asistencia solicitada; |
(b) | la asistencia solicitada no es proporcional a las actividades de supervisión del organismo de supervisión realizadas de conformidad con el artículo 17; |
(do) | la prestación de la asistencia solicitada sería incompatible con el presente Reglamento. |
3. Cuando proceda, los Estados miembros podrán autorizar a sus respectivos organismos de supervisión a realizar investigaciones conjuntas en las que participe personal de organismos de supervisión de otros Estados miembros. Las modalidades y procedimientos para dichas acciones conjuntas serán acordados y establecidos por los Estados miembros interesados de conformidad con su legislación nacional.
Artículo 19
Requisitos de seguridad aplicables a los proveedores de servicios de confianza
1. Los prestadores de servicios de confianza, cualificados y no cualificados, adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos que afectan a la seguridad de los servicios de confianza que prestan. Teniendo en cuenta los últimos avances tecnológicos, dichas medidas garantizarán que el nivel de seguridad sea proporcional al grado de riesgo. En particular, se adoptarán medidas para prevenir y minimizar el impacto de los incidentes de seguridad e informar a las partes interesadas de sus efectos adversos.
2. Los prestadores de servicios de confianza, tanto cualificados como no cualificados, notificarán sin demora indebida y, en cualquier caso, en el plazo de 24 horas desde que hayan tenido conocimiento de ello al organismo de control y, en su caso, a otros organismos pertinentes, como el organismo nacional competente en materia de seguridad de la información o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales conservados en él.
Cuando sea probable que la violación de la seguridad o la pérdida de integridad afecte negativamente a una persona física o jurídica a la que se haya prestado el servicio de confianza, el proveedor de servicios de confianza también deberá notificar a la persona física o jurídica la violación de la seguridad o la pérdida de integridad sin demora indebida.
Cuando proceda, en particular si una violación de la seguridad o una pérdida de integridad afecta a dos o más Estados miembros, el organismo de supervisión notificado informará a los organismos de supervisión de los demás Estados miembros afectados y a ENISA.
El organismo de supervisión notificado informará al público o exigirá al proveedor de servicios de confianza que lo haga, cuando determine que la divulgación de la violación de la seguridad o la pérdida de integridad redunda en interés público.
3. El organismo de supervisión facilitará a ENISA una vez al año un resumen de las notificaciones de violación de la seguridad y pérdida de integridad recibidas de los proveedores de servicios de confianza.
4. La Comisión podrá, mediante actos de ejecución:
(a) | especificar con más detalle las medidas a que se refiere el apartado 1; y |
(b) | definir los formatos y procedimientos, incluidos los plazos, aplicables a los efectos del apartado 2. |
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
SECCIÓN 3
Servicios fiduciarios calificados
Artículo 20
Supervisión de proveedores de servicios fiduciarios calificados
1. Los prestadores cualificados de servicios de confianza serán auditados, a su propio cargo, al menos cada 24 meses por un organismo de evaluación de la conformidad. El objetivo de la auditoría será confirmar que los prestadores cualificados de servicios de confianza y los servicios de confianza cualificados que prestan cumplen los requisitos establecidos en el presente Reglamento. Los prestadores cualificados de servicios de confianza presentarán el informe de evaluación de la conformidad resultante al organismo supervisor en el plazo de tres días hábiles a partir de su recepción.
2. Sin perjuicio de lo dispuesto en el apartado 1, el organismo de control podrá, en cualquier momento, auditar o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de los proveedores cualificados de servicios de confianza, a expensas de dichos proveedores, para confirmar que estos y los servicios cualificados que prestan cumplen los requisitos establecidos en el presente Reglamento. En caso de que se observe una infracción de las normas de protección de datos personales, el organismo de control informará a las autoridades de protección de datos de los resultados de sus auditorías.
3. Cuando el organismo supervisor requiera al proveedor cualificado de servicios de confianza que subsane cualquier incumplimiento de los requisitos establecidos en el presente Reglamento y dicho proveedor no actúe en consecuencia, y, si procede, dentro del plazo establecido por el organismo supervisor, este, teniendo en cuenta, en particular, el alcance, la duración y las consecuencias de dicho incumplimiento, podrá retirarle la cualificación a dicho proveedor o al servicio afectado que preste e informar al organismo mencionado en el artículo 22, apartado 3, a efectos de la actualización de las listas de confianza a que se refiere el artículo 22, apartado 1. El organismo supervisor informará al proveedor cualificado de servicios de confianza de la retirada de su cualificación o de la cualificación del servicio en cuestión.
4. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de las siguientes normas:
(a) | acreditación de los organismos de evaluación de la conformidad y del informe de evaluación de la conformidad a que se refiere el apartado 1; |
(b) | normas de auditoría con arreglo a las cuales los organismos de evaluación de la conformidad llevarán a cabo su evaluación de la conformidad de los proveedores de servicios de confianza cualificados a que se refiere el apartado 1. |
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 21
Inicio de un servicio de confianza cualificado
1. Cuando los proveedores de servicios de confianza, sin estatus cualificado, tengan intención de empezar a prestar servicios de confianza cualificados, presentarán al organismo de supervisión una notificación de su intención junto con un informe de evaluación de la conformidad emitido por un organismo de evaluación de la conformidad.
2. El organismo de supervisión verificará si el proveedor de servicios de confianza y los servicios de confianza que presta cumplen los requisitos establecidos en el presente Reglamento y, en particular, los requisitos para los proveedores de servicios de confianza cualificados y para los servicios de confianza cualificados que prestan.
Si el organismo de supervisión concluye que el proveedor de servicios de confianza y los servicios de confianza que presta cumplen los requisitos a que se refiere el párrafo primero, concederá el estatus de cualificado al proveedor de servicios de confianza y a los servicios de confianza que presta e informará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualización de las listas de confianza a que se refiere el artículo 22, apartado 1, a más tardar tres meses después de la notificación de conformidad con el apartado 1 del presente artículo.
Si la verificación no concluye en el plazo de tres meses desde la notificación, el organismo supervisor informará al proveedor de servicios fiduciarios especificando los motivos del retraso y el plazo en el que deberá concluirse la verificación.
3. Los proveedores de servicios de confianza cualificados podrán comenzar a prestar el servicio de confianza cualificado después de que se haya indicado la condición de cualificado en las listas de confianza a que se refiere el artículo 22(1).
4. La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos a efectos de los apartados 1 y 2. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 22
Listas de confianza
1. Cada Estado miembro establecerá, mantendrá y publicará listas de confianza, que incluyan información relativa a los proveedores de servicios de confianza cualificados de los que sea responsable, junto con información relativa a los servicios de confianza cualificados que presten.
2. Los Estados miembros establecerán, mantendrán y publicarán, de forma segura, las listas de confianza firmadas o selladas electrónicamente a que se refiere el apartado 1 en una forma adecuada para el tratamiento automatizado.
3. Los Estados miembros notificarán a la Comisión, sin demora indebida, información sobre el organismo responsable de establecer, mantener y publicar las listas nacionales de confianza, así como detalles sobre dónde se publican dichas listas, los certificados utilizados para firmar o sellar las listas de confianza y cualquier cambio al respecto.
4. La Comisión pondrá a disposición del público, a través de un canal seguro, la información a que se refiere el apartado 3 en forma electrónicamente firmada o sellada, adecuada para su tratamiento automatizado.
5. A más tardar el 18 de septiembre de 2015, la Comisión, mediante actos de ejecución, especificará la información a que se refiere el apartado 1 y definirá las especificaciones técnicas y los formatos de las listas de confianza aplicables a los efectos de los apartados 1 a 4. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 23
Marca de confianza de la UE para servicios de confianza cualificados
1. Una vez indicado el estatus cualificado a que se refiere el artículo 21, apartado 2, párrafo segundo, en la lista de confianza a que se refiere el artículo 22, apartado 1, los proveedores de servicios de confianza cualificados podrán utilizar la marca de confianza de la UE para indicar de forma sencilla, reconocible y clara los servicios de confianza cualificados que prestan.
2. Cuando utilicen la marca de confianza de la UE para los servicios de confianza cualificados a que se refiere el apartado 1, los proveedores de servicios de confianza cualificados se asegurarán de que en su sitio web esté disponible un enlace a la lista de confianza pertinente.
3. A más tardar el 1 de julio de 2015, la Comisión, mediante actos de ejecución, establecerá especificaciones relativas a la forma, y en particular a la presentación, composición, tamaño y diseño, del sello de confianza de la UE para servicios de confianza cualificados. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 24
Requisitos para proveedores de servicios fiduciarios calificados
1. Al expedir un certificado cualificado para un servicio de confianza, el proveedor cualificado de servicios de confianza verificará, por medios adecuados y de conformidad con el Derecho nacional, la identidad y, en su caso, los atributos específicos de la persona física o jurídica a la que se expide el certificado cualificado.
La información a que se refiere el párrafo primero será verificada por el proveedor de servicios de confianza cualificado, ya sea directamente o recurriendo a un tercero, de conformidad con el Derecho nacional:
(a) | mediante la presencia física de la persona física o de un representante autorizado de la persona jurídica; o |
(b) | a distancia, mediante medios de identificación electrónica, para lo cual, con carácter previo a la emisión del certificado cualificado, se haya asegurado la presencia física de la persona física o de un representante autorizado de la persona jurídica y que cumpla los requisitos establecidos en el artículo 8 en relación con los niveles de seguridad «sustancial» o «alto»; o |
(do) | mediante un certificado de firma electrónica cualificada o de sello electrónico cualificado emitido de conformidad con las letras a) o b); o |
(d) | Utilizando otros métodos de identificación reconocidos a nivel nacional que ofrezcan una garantía equivalente en términos de fiabilidad a la presencia física. Esta garantía equivalente deberá ser confirmada por un organismo de evaluación de la conformidad. |
2. Un proveedor de servicios fiduciarios cualificado que preste servicios fiduciarios cualificados deberá:
(a) | informar al organismo supervisor de cualquier cambio en la prestación de sus servicios fiduciarios calificados y de su intención de cesar dichas actividades; |
(b) | emplear personal y, en su caso, subcontratistas que posean los conocimientos, la fiabilidad, la experiencia y las cualificaciones necesarias y que hayan recibido la formación adecuada en materia de seguridad y de normas de protección de datos personales y aplicarán procedimientos administrativos y de gestión que correspondan a las normas europeas o internacionales; |
(do) | en relación con el riesgo de responsabilidad por daños de conformidad con el artículo 13, mantener recursos financieros suficientes y/o obtener un seguro de responsabilidad civil adecuado, de conformidad con la legislación nacional; |
(d) | antes de entrar en una relación contractual, informar, de manera clara y completa, a cualquier persona que busque utilizar un servicio de confianza calificado de los términos y condiciones precisos relativos al uso de dicho servicio, incluidas cualquier limitación a su uso; |
(mi) | utilizar sistemas y productos fiables y protegidos contra modificaciones que garanticen la seguridad técnica y la fiabilidad de los procesos que soportan; |
(F) | utilizar sistemas confiables para almacenar los datos que se le proporcionan, de forma verificable, de manera que:
|
(gramo) | tomar medidas adecuadas contra la falsificación y el robo de datos; |
(h) | Registrar y mantener accesible durante un período adecuado, incluso después del cese de las actividades del proveedor cualificado de servicios de confianza, toda la información pertinente relativa a los datos emitidos y recibidos por este, en particular para aportar pruebas en procedimientos judiciales y garantizar la continuidad del servicio. Dicho registro podrá realizarse electrónicamente. |
(i) | contar con un plan de terminación actualizado para garantizar la continuidad del servicio de conformidad con las disposiciones verificadas por el organismo supervisor de conformidad con el punto (i) del artículo 17(4); |
(j) | garantizar el tratamiento lícito de los datos personales de conformidad con la Directiva 95/46/CE; |
(k) | en el caso de proveedores de servicios de confianza cualificados que emitan certificados cualificados, establecer y mantener actualizada una base de datos de certificados. |
3. Si un proveedor de servicios de confianza cualificado que emite certificados cualificados decide revocar un certificado, deberá registrar dicha revocación en su base de datos de certificados y publicar el estado de revocación del certificado oportunamente, y en cualquier caso dentro de las 24 horas siguientes a la recepción de la solicitud. La revocación surtirá efecto inmediatamente después de su publicación.
4. Con respecto al apartado 3, los prestadores de servicios de confianza cualificados que emitan certificados cualificados proporcionarán a cualquier parte que confíe información sobre la validez o revocación de los certificados cualificados que hayan emitido. Esta información se pondrá a disposición, al menos para cada certificado, en cualquier momento y una vez finalizado su período de validez, de forma automatizada, fiable, gratuita y eficiente.
5. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para sistemas y productos fiables que cumplan los requisitos establecidos en el apartado 2, letras e) y f), del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando los sistemas y productos fiables cumplan dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
SECCIÓN 4
Firmas electrónicas
Artículo 25
Efectos jurídicos de las firmas electrónicas
1. No se denegará el efecto jurídico ni la admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el solo hecho de estar en forma electrónica o de no cumplir los requisitos de las firmas electrónicas cualificadas.
2. Una firma electrónica cualificada tendrá el efecto jurídico equivalente a una firma manuscrita.
3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como firma electrónica cualificada en todos los demás Estados miembros.
Artículo 26
Requisitos para firmas electrónicas avanzadas
Una firma electrónica avanzada deberá cumplir los siguientes requisitos:
(a) | está vinculado de manera única al firmante; |
(b) | es capaz de identificar al firmante; |
(do) | se crea utilizando datos de creación de firma electrónica que el firmante puede, con un alto nivel de confianza, utilizar bajo su exclusivo control; y |
(d) | está vinculado a los datos firmados con él de tal manera que cualquier cambio posterior en los datos sea detectable. |
Artículo 27
Firmas electrónicas en los servicios públicos
1. Si un Estado miembro exige una firma electrónica avanzada para utilizar un servicio en línea ofrecido por un organismo del sector público o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firmas electrónicas y las firmas electrónicas cualificadas al menos en los formatos o utilizando los métodos definidos en los actos de ejecución a que se refiere el apartado 5.
2. Si un Estado miembro exige una firma electrónica avanzada basada en un certificado cualificado para utilizar un servicio en línea ofrecido por un organismo del sector público o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas al menos en los formatos o utilizando los métodos definidos en los actos de ejecución a que se refiere el apartado 5.
3. Los Estados miembros no solicitarán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, una firma electrónica con un nivel de seguridad superior al de la firma electrónica cualificada.
4. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para las firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos para las firmas electrónicas avanzadas a que se refieren los apartados 1 y 2 del presente artículo y el artículo 26 cuando una firma electrónica avanzada cumpla dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
5. A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión vigentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o los métodos de referencia cuando se utilicen formatos alternativos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 28
Certificados cualificados para firmas electrónicas
1. Los certificados cualificados de firma electrónica deberán cumplir los requisitos establecidos en el anexo I.
2. Los certificados cualificados de firma electrónica no estarán sujetos a ningún requisito obligatorio que exceda los establecidos en el anexo I.
3. Los certificados cualificados de firma electrónica podrán incluir atributos específicos adicionales no obligatorios. Dichos atributos no afectarán la interoperabilidad ni el reconocimiento de las firmas electrónicas cualificadas.
4. Si un certificado cualificado de firma electrónica ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y su estado no podrá revertirse en ningún caso.
5. Con sujeción a las siguientes condiciones, los Estados miembros podrán establecer normas nacionales sobre la suspensión temporal de un certificado cualificado de firma electrónica:
(a) | si un certificado cualificado de firma electrónica ha sido suspendido temporalmente, dicho certificado perderá su validez durante el período de suspensión; |
(b) | El período de suspensión deberá estar claramente indicado en la base de datos de certificados y el estado de la suspensión deberá ser visible, durante el período de suspensión, desde el servicio que proporcione información sobre el estado del certificado. |
6. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para certificados cualificados de firma electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando un certificado cualificado de firma electrónica cumpla dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 29
Requisitos para dispositivos cualificados de creación de firmas electrónicas
1. Los dispositivos cualificados de creación de firmas electrónicas deberán cumplir los requisitos establecidos en el anexo II.
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para dispositivos cualificados de creación de firmas electrónicas. Se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas cumpla dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 30
Certificación de dispositivos cualificados de creación de firmas electrónicas
1. La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos establecidos en el anexo II será certificada por organismos públicos o privados apropiados designados por los Estados miembros.
2. Los Estados miembros notificarán a la Comisión los nombres y direcciones del organismo público o privado a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de los Estados miembros.
3. La certificación a que se refiere el apartado 1 se basará en uno de los criterios siguientes:
(a) | un proceso de evaluación de la seguridad realizado de conformidad con una de las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidas en la lista establecida de conformidad con el párrafo segundo; o |
(b) | un proceso distinto del mencionado en la letra a), siempre que utilice niveles de seguridad comparables y que el organismo público o privado mencionado en el apartado 1 lo notifique a la Comisión. Dicho proceso solo podrá utilizarse en ausencia de las normas mencionadas en la letra a) o cuando esté en curso un proceso de evaluación de la seguridad mencionado en la letra a). |
La Comisión, mediante actos de ejecución, establecerá una lista de normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
4. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 47 en lo relativo al establecimiento de criterios específicos que deberán cumplir los organismos designados a que se refiere el apartado 1 del presente artículo.
Artículo 31
Publicación de una lista de dispositivos cualificados de creación de firmas electrónicas certificados
1. Los Estados miembros notificarán a la Comisión, sin demora indebida y a más tardar un mes después de la conclusión de la certificación, información sobre los dispositivos cualificados de creación de firmas electrónicas que hayan sido certificados por los organismos a que se refiere el artículo 30, apartado 1. También notificarán a la Comisión, sin demora indebida y a más tardar un mes después de la cancelación de la certificación, información sobre los dispositivos de creación de firmas electrónicas que ya no estén certificados.
2. Sobre la base de la información recibida, la Comisión establecerá, publicará y mantendrá una lista de dispositivos cualificados de creación de firmas electrónicas certificados.
3. La Comisión podrá, mediante actos de ejecución, definir formatos y procedimientos aplicables a efectos del apartado 1. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 32
Requisitos para la validación de firmas electrónicas cualificadas
1. El proceso de validación de una firma electrónica cualificada confirmará la validez de una firma electrónica cualificada siempre que:
(a) | el certificado que respalda la firma era, en el momento de la firma, un certificado cualificado de firma electrónica conforme con el Anexo I; |
(b) | el certificado calificado fue emitido por un proveedor de servicios de confianza calificado y era válido al momento de la firma; |
(do) | los datos de validación de la firma corresponden a los datos proporcionados a la parte confiante; |
(d) | el conjunto único de datos que representa al firmante en el certificado se proporciona correctamente a la parte que confía; |
(mi) | el uso de cualquier seudónimo se indica claramente a la parte que confía si se utilizó un seudónimo en el momento de la firma; |
(F) | la firma electrónica fue creada por un dispositivo calificado de creación de firmas electrónicas; |
(gramo) | la integridad de los datos firmados no se ha visto comprometida; |
(h) | los requisitos previstos en el artículo 26 se cumplieron en el momento de la firma. |
2. El sistema utilizado para validar la firma electrónica cualificada deberá proporcionar a la parte que confía el resultado correcto del proceso de validación y le permitirá detectar cualquier problema de seguridad relevante.
3. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para la validación de firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de firmas electrónicas cualificadas se ajuste a dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 33
Servicio de validación cualificada de firmas electrónicas cualificadas
1. Un servicio de validación cualificado de firmas electrónicas cualificadas solo podrá ser prestado por un proveedor de servicios de confianza cualificado que:
(a) | proporciona validación de conformidad con el artículo 32(1); y |
(b) | permite a las partes confiantes recibir el resultado del proceso de validación de forma automatizada, fiable, eficiente y que lleva la firma electrónica avanzada o el sello electrónico avanzado del proveedor del servicio de validación cualificado. |
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de las normas para el servicio de validación cualificado a que se refiere el apartado 1. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el servicio de validación de una firma electrónica cualificada cumpla dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 34
Servicio cualificado de conservación de firmas electrónicas cualificadas
1. Un servicio cualificado de conservación de firmas electrónicas cualificadas sólo podrá ser prestado por un prestador de servicios de confianza cualificado que utilice procedimientos y tecnologías capaces de extender la fiabilidad de la firma electrónica cualificada más allá del período de validez tecnológica.
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para el servicio cualificado de conservación de firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando las disposiciones del servicio cualificado de conservación de firmas electrónicas cualificadas se ajusten a dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
SECCIÓN 5
sellos electrónicos
Artículo 35
Efectos jurídicos de los sellos electrónicos
1. No se denegará el efecto jurídico ni la admisibilidad como prueba en procedimientos judiciales a un sello electrónico por el mero hecho de que esté en formato electrónico o de que no cumpla los requisitos exigidos a los sellos electrónicos cualificados.
2. Un sello electrónico cualificado gozará de la presunción de integridad de los datos y de exactitud del origen de los datos a los que esté vinculado.
3. Un sello electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como sello electrónico cualificado en todos los demás Estados miembros.
Artículo 36
Requisitos para sellos electrónicos avanzados
Un sello electrónico avanzado deberá cumplir los siguientes requisitos:
(a) | Está vinculado de forma única al creador del sello; |
(b) | es capaz de identificar al creador del sello; |
(do) | se crea utilizando datos de creación de sellos electrónicos que el creador del sello puede, con un alto nivel de confianza bajo su control, utilizar para la creación del sello electrónico; y |
(d) | Está vinculado a los datos a los que se refiere de tal manera que cualquier cambio posterior en los datos es detectable. |
Artículo 37
Sellos electrónicos en los servicios públicos
1. Si un Estado miembro exige un sello electrónico avanzado para utilizar un servicio en línea ofrecido por un organismo del sector público o en su nombre, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado cualificado para sellos electrónicos y los sellos electrónicos cualificados al menos en los formatos o utilizando los métodos definidos en los actos de ejecución a que se refiere el apartado 5.
2. Si un Estado miembro exige un sello electrónico avanzado basado en un certificado cualificado para utilizar un servicio en línea ofrecido por un organismo del sector público o en su nombre, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados al menos en los formatos o utilizando los métodos definidos en los actos de ejecución a que se refiere el apartado 5.
3. Los Estados miembros no solicitarán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, un sello electrónico con un nivel de seguridad superior al del sello electrónico cualificado.
4. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos para sellos electrónicos avanzados a que se refieren los apartados 1 y 2 del presente artículo y el artículo 36 cuando un sello electrónico avanzado cumpla dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
5. A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos vigentes de la Unión, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de los sellos electrónicos avanzados o los métodos de referencia cuando se utilicen formatos alternativos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 38
Certificados cualificados para sellos electrónicos
1. Los certificados cualificados de sellos electrónicos deberán cumplir los requisitos establecidos en el anexo III.
2. Los certificados cualificados de sellos electrónicos no estarán sujetos a ningún requisito obligatorio que exceda los establecidos en el anexo III.
3. Los certificados cualificados para sellos electrónicos podrán incluir atributos específicos adicionales no obligatorios. Dichos atributos no afectarán la interoperabilidad ni el reconocimiento de los sellos electrónicos cualificados.
4. Si un certificado cualificado de sello electrónico ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y su estado no podrá revertirse en ningún caso.
5. Con sujeción a las siguientes condiciones, los Estados miembros podrán establecer normas nacionales sobre la suspensión temporal de los certificados cualificados para sellos electrónicos:
(a) | si un certificado cualificado de sello electrónico ha sido suspendido temporalmente, dicho certificado perderá su validez durante el período de suspensión; |
(b) | El período de suspensión deberá estar claramente indicado en la base de datos de certificados y el estado de la suspensión deberá ser visible, durante el período de suspensión, desde el servicio que proporcione información sobre el estado del certificado. |
6. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para certificados cualificados de sellos electrónicos. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando un certificado cualificado de sello electrónico cumpla dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 39
Dispositivos cualificados de creación de sellos electrónicos
1. El artículo 29 se aplicará mutatis mutandis a los requisitos de los dispositivos cualificados de creación de sellos electrónicos.
2. El artículo 30 se aplicará mutatis mutandis a la certificación de dispositivos cualificados de creación de sellos electrónicos.
3. El artículo 31 se aplicará mutatis mutandis a la publicación de una lista de dispositivos cualificados certificados de creación de sellos electrónicos.
Artículo 40
Validación y conservación de sellos electrónicos cualificados
Los artículos 32, 33 y 34 se aplicarán mutatis mutandis a la validación y conservación de los sellos electrónicos cualificados.
SECCIÓN 6
sellos de tiempo electrónicos
Artículo 41
Efecto jurídico de los sellos de tiempo electrónicos
1. No se denegará a un sello de tiempo electrónico su eficacia jurídica ni su admisibilidad como prueba en procedimientos judiciales únicamente por el hecho de que esté en formato electrónico o de que no cumpla los requisitos del sello de tiempo electrónico cualificado.
2. Un sello de tiempo electrónico cualificado gozará de la presunción de exactitud de la fecha y de la hora que indica y de la integridad de los datos a los que se vinculan la fecha y la hora.
3. Un sello de tiempo electrónico cualificado emitido en un Estado miembro será reconocido como sello de tiempo electrónico cualificado en todos los Estados miembros.
Artículo 42
Requisitos para sellos de tiempo electrónicos cualificados
1. Un sello de tiempo electrónico cualificado deberá cumplir los siguientes requisitos:
(a) | vincula la fecha y la hora a los datos de tal manera que excluye razonablemente la posibilidad de que los datos se modifiquen de forma indetectable; |
(b) | se basa en una fuente de tiempo precisa vinculada al Tiempo Universal Coordinado; y |
(do) | se firma mediante una firma electrónica avanzada o se sella con un sello electrónico avanzado del prestador de servicios de confianza cualificado, o mediante algún método equivalente. |
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para la vinculación de la fecha y la hora a los datos y a las fuentes de tiempo preciso. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la vinculación de la fecha y la hora a los datos y la fuente de tiempo preciso cumplan dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
SECCIÓN 7
Servicios de entrega electrónica registrada
Artículo 43
Efecto jurídico de un servicio de entrega electrónica certificada
1. Los datos enviados y recibidos mediante un servicio de entrega electrónica certificada no perderán su eficacia jurídica ni su admisibilidad como prueba en procedimientos judiciales por el solo hecho de estar en formato electrónico o de no cumplir los requisitos del servicio de entrega electrónica certificada cualificado.
2. Los datos enviados y recibidos mediante un servicio de entrega electrónica certificada cualificado gozarán de la presunción de integridad de los datos, de su envío por el remitente identificado, de su recepción por el destinatario identificado y de la exactitud de la fecha y hora de envío y recepción indicadas por el servicio de entrega electrónica certificada cualificado.
Artículo 44
Requisitos para servicios de entrega electrónica certificada calificados
1. Los servicios cualificados de entrega electrónica certificada deberán cumplir los siguientes requisitos:
(a) | son proporcionados por uno o más proveedores de servicios de confianza calificados; |
(b) | garantizan con un alto nivel de confianza la identificación del remitente; |
(do) | garantizan la identificación del destinatario antes de la entrega de los datos; |
(d) | el envío y la recepción de datos estén protegidos por una firma electrónica avanzada o un sello electrónico avanzado de un proveedor de servicios de confianza cualificado, de manera que se excluya la posibilidad de que los datos se modifiquen de forma indetectable; |
(mi) | cualquier cambio de los datos necesarios para el envío o recepción de los datos se indique claramente al remitente y al destinatario de los mismos; |
(F) | La fecha y hora de envío, recepción y cualquier modificación de los datos se indican mediante un sello de tiempo electrónico cualificado. |
En caso de que los datos se transfieran entre dos o más proveedores de servicios de confianza cualificados, los requisitos de las letras a) a f) se aplicarán a todos los proveedores de servicios de confianza cualificados.
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para los procesos de envío y recepción de datos. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos se ajuste a dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
SECCIÓN 8
Autenticación de sitios web
Artículo 45
Requisitos para certificados calificados para la autenticación de sitios web
1. Los certificados cualificados para la autenticación de sitios web deberán cumplir los requisitos establecidos en el anexo IV.
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para certificados cualificados de autenticación de sitios web. Se presumirá el cumplimiento de los requisitos establecidos en el anexo IV cuando un certificado cualificado de autenticación de sitios web cumpla dichas normas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
CAPÍTULO IV
DOCUMENTOS ELECTRÓNICOS
Artículo 46
Efectos jurídicos de los documentos electrónicos
No se negará a un documento electrónico efecto jurídico ni admisibilidad como prueba en procedimientos judiciales por el solo hecho de estar en formato electrónico.
CAPÍTULO V
DELEGACIONES DE PODERES Y DISPOSICIONES DE APLICACIÓN
Artículo 47
Ejercicio de la delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.
2. Los poderes para adoptar actos delegados a que se refiere el artículo 30, apartado 4, se otorgan a la Comisión por tiempo indefinido a partir del 17 de septiembre de 2014.
3. La delegación de poderes a que se refiere el artículo 30, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá fin a la delegación de los poderes que en ella se especifiquen. Surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior que se especifique en la misma. No afectará a la validez de los actos delegados ya en vigor.
4. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
5. Un acto delegado adoptado en virtud del artículo 30, apartado 4, entrará en vigor únicamente si ni el Parlamento Europeo ni el Consejo formulan objeciones en un plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, o si, antes del vencimiento de dicho plazo, tanto el Parlamento Europeo como el Consejo informan a la Comisión de que no las formularán. Dicho plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.
Artículo 48
Procedimiento del comité
1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.º 182/2011.
2. Cuando se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.º 182/2011.
CAPÍTULO VI
DISPOSICIONES FINALES
Artículo 49
Revisar
La Comisión revisará la aplicación del presente Reglamento e informará al Parlamento Europeo y al Consejo a más tardar el 1 de julio de 2020. La Comisión evaluará, en particular, si procede modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluido el artículo 6, letra f), del artículo 7 y los artículos 34, 43, 44 y 45, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica.
El informe a que se refiere el apartado primero se acompañará, en su caso, de propuestas legislativas.
Además, la Comisión presentará cada cuatro años, tras el informe a que se refiere el párrafo primero, un informe al Parlamento Europeo y al Consejo sobre los avances logrados en la consecución de los objetivos del presente Reglamento.
Artículo 50
Revocar
1. La Directiva 1999/93/CE queda derogada con efectos a partir del 1 de julio de 2016.
2. Las referencias a la Directiva derogada se entenderán hechas al presente Reglamento.
Artículo 51
Medidas transitorias
1. Los dispositivos seguros de creación de firmas cuya conformidad se haya determinado de conformidad con el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firmas electrónicas con arreglo al presente Reglamento.
2. Los certificados cualificados expedidos a personas físicas con arreglo a la Directiva 1999/93/CE se considerarán certificados cualificados para firmas electrónicas con arreglo al presente Reglamento hasta su expiración.
3. Un proveedor de servicios de certificación que expida certificados cualificados con arreglo a la Directiva 1999/93/CE presentará un informe de evaluación de la conformidad al organismo supervisor lo antes posible y, a más tardar, el 1 de julio de 2017. Hasta la presentación de dicho informe de evaluación de la conformidad y la finalización de su evaluación por parte del organismo supervisor, dicho proveedor de servicios de certificación se considerará proveedor cualificado de servicios de confianza con arreglo al presente Reglamento.
4. Si un proveedor de servicios de certificación que emite certificados cualificados con arreglo a la Directiva 1999/93/CE no presenta un informe de evaluación de la conformidad al organismo de supervisión en el plazo mencionado en el apartado 3, dicho proveedor de servicios de certificación no será considerado proveedor cualificado de servicios de confianza con arreglo al presente Reglamento a partir del 2 de julio de 2017.
Artículo 52
Entrada en vigor
1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea .
2. El presente Reglamento se aplicará a partir del 1 de julio de 2016, con excepción de lo siguiente:
(a) | Los artículos 8(3), 9(5), 12(2) a (9), 17(8), 19(4), 20(4), 21(4), 22(5), 23(3), 24(5), 27(4) y (5), 28(6), 29(2), 30(3) y (4), 31(3), 32(3), 33(2), 34(2), 37(4) y (5), 38(6), 42(2), 44(2), 45(2), y los artículos 47 y 48 se aplicarán a partir del 17 de septiembre de 2014; |
(b) | El artículo 7, el artículo 8, apartados 1 y 2, los artículos 9, 10 y 11 y el artículo 12, apartado 1, se aplicarán a partir de la fecha de aplicación de los actos de ejecución a que se refieren el artículo 8, apartado 3, y el artículo 12, apartado 8; |
(do) | El artículo 6 se aplicará a partir de los tres años siguientes a la fecha de aplicación de los actos de ejecución a que se refieren los artículos 8, apartado 3, y 12, apartado 8. |
3. Cuando el sistema de identificación electrónica notificado esté incluido en la lista publicada por la Comisión de conformidad con el artículo 9 antes de la fecha a que se refiere el apartado 2, letra c), del presente artículo, el reconocimiento de los medios de identificación electrónica en virtud de dicho sistema, de conformidad con el artículo 6, tendrá lugar a más tardar doce meses después de la publicación de dicho sistema, pero no antes de la fecha a que se refiere el apartado 2, letra c), del presente artículo.
4. No obstante lo dispuesto en la letra c) del apartado 2 del presente artículo, un Estado miembro podrá decidir que los medios de identificación electrónica en virtud de un sistema de identificación electrónica notificado con arreglo al artículo 9, apartado 1, por otro Estado miembro se reconozcan en el primer Estado miembro a partir de la fecha de aplicación de los actos de ejecución a que se refieren los artículos 8, apartado 3, y 12, apartado 8. Los Estados miembros interesados informarán a la Comisión. La Comisión hará pública esta información.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 23 de julio de 2014.
Para el Parlamento
El Presidente
Señor Schulz
Para el Consejo
El Presidente
S. GOZI
( 1 ) DO C 351 de 15.11.2012, p. 73 .
( 2 ) Posición del Parlamento Europeo de 3 de abril de 2014 (no publicada aún en el Diario Oficial) y Decisión del Consejo de 23 de julio de 2014.
( 3 ) Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica ( DO L 13 de 19.1.2000, p. 12 ).
( 4 ) DO C 50 E de 21.2.2012, p. 1 .
( 5 ) Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior ( DO L 376 de 27.12.2006, p. 36 ).
( 6 ) Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza ( DO L 88 de 4.4.2011, p. 45 ).
( 7 ) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ( DO L 281 de 23.11.1995, p. 31 ).
( 8 ) Decisión 2010/48/CE del Consejo, de 26 de noviembre de 2009, relativa a la celebración, por la Comunidad Europea, de la Convención de las Naciones Unidas sobre los derechos de las personas con discapacidad ( DO L 23 de 27.1.2010, p. 35 ).
( 9 ) Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) n.o 339/93 ( DO L 218 de 13.8.2008, p. 30 ).
( 10 ) Decisión 2009/767/CE de la Comisión, de 16 de octubre de 2009, por la que se establecen medidas para facilitar la utilización de procedimientos por vía electrónica a través de las «ventanillas únicas» de conformidad con la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior ( DO L 274 de 20.10.2009, p. 36 ).
( 11 ) Decisión 2011/130/UE de la Comisión, de 25 de febrero de 2011, por la que se establecen requisitos mínimos para el tratamiento transfronterizo de documentos firmados electrónicamente por las autoridades competentes con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, relativa a los servicios en el mercado interior ( DO L 53 de 26.2.2011, p. 66 ).
( 12 ) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión ( DO L 55 de 28.2.2011, p. 13 ).
( 13 ) Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos ( DO L 8 de 12.1.2001, p. 1 ).
( 14 ) DO C 28 de 30.1.2013, p. 6 .
( 15 ) Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE ( DO L 94 de 28.3.2014, p. 65 ).
ANEXO I
REQUISITOS PARA CERTIFICADOS CALIFICADOS DE FIRMAS ELECTRÓNICAS
Los certificados cualificados de firma electrónica deberán contener:
(a) | una indicación, al menos en una forma adecuada para el procesamiento automatizado, de que el certificado ha sido emitido como certificado cualificado para firma electrónica; |
(b) | un conjunto de datos que representen de forma inequívoca al proveedor de servicios de confianza cualificado que emite los certificados cualificados, incluido, como mínimo, el Estado miembro en el que está establecido dicho proveedor y:
|
(do) | al menos el nombre del firmante, o un seudónimo; si se utiliza un seudónimo, deberá indicarse claramente; |
(d) | datos de validación de firma electrónica que corresponden a los datos de creación de la firma electrónica; |
(mi) | detalles del inicio y final del período de validez del certificado; |
(F) | el código de identidad del certificado, que debe ser único para el proveedor de servicios de confianza calificado; |
(gramo) | la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza cualificado emisor; |
(h) | el lugar en el que esté disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se refiere la letra g); |
(i) | la ubicación de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado; |
(j) | cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de ello, al menos en una forma adecuada para el tratamiento automatizado. |
ANEXO II
REQUISITOS PARA DISPOSITIVOS DE CREACIÓN DE FIRMAS ELECTRÓNICAS CUALIFICADOS
1. | Los dispositivos cualificados de creación de firmas electrónicas garantizarán, mediante medios técnicos y procedimentales adecuados, que al menos:
|
2. | Los dispositivos cualificados de creación de firmas electrónicas no deberán alterar los datos que se hayan de firmar ni impedir que dichos datos se presenten al firmante antes de la firma. |
3. | La generación o gestión de datos de creación de firmas electrónicas en nombre del firmante sólo podrá ser realizada por un proveedor de servicios de confianza cualificado. |
4. | Sin perjuicio de lo dispuesto en la letra d) del punto 1, los proveedores de servicios de confianza cualificados que gestionen datos de creación de firmas electrónicas en nombre del firmante podrán duplicar los datos de creación de firmas electrónicas únicamente con fines de copia de seguridad, siempre que se cumplan los siguientes requisitos:
|
ANEXO III
REQUISITOS PARA CERTIFICADOS CALIFICADOS PARA SELLOS ELECTRÓNICOS
Los certificados cualificados de sellos electrónicos deberán contener:
(a) | una indicación, al menos en una forma adecuada para el procesamiento automatizado, de que el certificado ha sido emitido como certificado cualificado para sello electrónico; |
(b) | un conjunto de datos que representen de forma inequívoca al proveedor de servicios de confianza cualificado que emite los certificados cualificados, incluido al menos el Estado miembro en el que está establecido dicho proveedor y:
|
(do) | al menos el nombre del creador del sello y, en su caso, el número de registro que conste en los registros oficiales; |
(d) | datos de validación del sello electrónico, que corresponden a los datos de creación del sello electrónico; |
(mi) | detalles del inicio y final del período de validez del certificado; |
(F) | el código de identidad del certificado, que debe ser único para el proveedor de servicios de confianza calificado; |
(gramo) | la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza cualificado emisor; |
(h) | el lugar en el que esté disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se refiere la letra g); |
(i) | la ubicación de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado; |
(j) | cuando los datos de creación del sello electrónico relacionados con los datos de validación del sello electrónico se encuentren en un dispositivo cualificado de creación de sello electrónico, una indicación adecuada de ello, al menos en una forma adecuada para el tratamiento automatizado. |
ANEXO IV
REQUISITOS PARA CERTIFICADOS CALIFICADOS PARA LA AUTENTICACIÓN DE SITIOS WEB
Los certificados cualificados para la autenticación de sitios web deberán contener:
(a) | una indicación, al menos en una forma adecuada para el procesamiento automatizado, de que el certificado ha sido emitido como certificado cualificado para la autenticación de sitios web; |
(b) | un conjunto de datos que representen de forma inequívoca al proveedor de servicios de confianza cualificado que emite los certificados cualificados, incluido al menos el Estado miembro en el que está establecido dicho proveedor y:
|
(do) | Para personas físicas: al menos el nombre de la persona a quien se ha expedido el certificado, o un seudónimo. Si se utiliza un seudónimo, deberá indicarse claramente. para las personas jurídicas: al menos el nombre de la persona jurídica a la que se expide el certificado y, en su caso, el número de registro que conste en los registros oficiales; |
(d) | elementos de la dirección, incluyendo al menos ciudad y Estado, de la persona física o jurídica a quien se expide el certificado y, en su caso, tal como conste en los registros oficiales; |
(mi) | el(los) nombre(s) de dominio operados por la persona física o jurídica a quien se expide el certificado; |
(F) | detalles del inicio y final del período de validez del certificado; |
(gramo) | el código de identidad del certificado, que debe ser único para el proveedor de servicios de confianza calificado; |
(h) | la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza cualificado emisor; |
(i) | el lugar en el que esté disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se refiere la letra h); |
(j) | la ubicación de los servicios de estado de validez del certificado que se pueden utilizar para consultar el estado de validez del certificado calificado. |
Entradas
0 comentarios :
Publicar un comentario