Publicada la nueva ley sobre servicios electrónicos de confianza

Hoy publicamos un artículo de Noticias Jurídicas sobre la nueva ley de servicios electrónicos de confianza. Cada día va a regularse más este nuevo aspecto de nuestra sociedad, como es el derecho informático, el tratamiento de datos, el comercio electrónico, etc.

La Ley 6/2020, de 11 de noviembre, adapta el ordenamiento jurídico español al Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/C, mediante la regulación de determinados aspectos de los servicios electrónicos de confianza.

La Ley será aplicable a los prestadores públicos y privados de servicios electrónicos de confianza establecidos en España, así como a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.

La norma no incorpora una regulación sistemática de los servicios electrónicos de confianza, sino que únicamente complementa el citado Reglamento en aquellos aspectos que considera imprescindibles, con el objetivo de evitar la existencia de vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de dichos servicios.

Con esta finalidad, el texto incluye el régimen de previsión de riesgo de los prestadores cualificados, el régimen sancionador, la comprobación de la identidad y atributos de los solicitantes de un certificado cualificado, la inclusión de requisitos adicionales a nivel nacional para certificados cualificados tales como identificadores nacionales, o su tiempo máximo de vigencia, así como las condiciones para la suspensión de los certificados.

Documentos electrónicos

La Ley atribuye a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria. Así, señala que los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable, mientras que la prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

Con ello se simplifica la prueba, pues basta la mera constatación de la inclusión del citado servicio en la lista de confianza de prestadores cualificados de servicios electrónicos regulada en el artículo 22 del Reglamento (UE) 910/2014.

Certificados electrónicos

El texto mantiene la vigencia máxima de los certificados electrónicos en cinco años, fijándose dicho periodo en atención a las características y tecnología empleada para generar los datos de creación de firma, sello, o autenticación de sitio web.

Respecto a su revocación y suspensión, el texto detalla aquellos supuestos en los que prestadores de servicios electrónicos de confianza extinguirán o suspenderán la vigencia de los certificados electrónicos. En los casos de suspensión, la vigencia del certificado se extinguirá si transcurrido el plazo de duración de la suspensión, el prestador no la hubiera levantado.
Sin embargo, no se les permite el denominado “encadenamiento” en la renovación de certificados cualificados utilizando uno vigente, más que una sola vez, por razones de seguridad en el tráfico jurídico.

En cuanto a la identidad y atributos de los titulares de certificados cualificados, los expedidos a personas físicas incluirán el número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, salvo en los casos en los que el titular carezca de todos ellos. La misma regla se aplica en cuanto al número de identificación fiscal de las personas jurídicas o sin personalidad jurídica titulares de certificados cualificados, que en defecto de este han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.

Asimismo el texto se ocupa del procedimiento de comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado. Y dado que el Reglamento (UE) 910/2014 contempla la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física, la norma habilita a que reglamentariamente se regulen las condiciones y requisitos técnicos que lo harían posible.

Prestadores de servicios electrónicos de confianza

Dentro de las obligaciones de los prestadores de servicios electrónicos de confianza, se les exige publicar información veraz y acorde con la nueva norma y el Reglamento (UE) 910/2014, así como no almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.

Además, quienes expidan certificados electrónicos deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público.

Por otra parte, la norma les impone la constitución de una garantía económica para la prestación de servicios cualificados de confianza. Se fija una cuantía mínima única de 1.500.000 euros, que se incrementa en 500.000 euros por cada tipo de servicio adicional que se preste.
Asimismo, todos los prestadores de servicios de confianza, cualificados y no cualificados, vienen obligados a adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como a notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado. Y el prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad, por un medio que acredite la entrega y recepción efectiva siempre que sea factible. El plan de cese del prestador de servicios puede incluir la transferencia de clientes, una vez acreditada la ausencia de oposición de los mismos, a otro prestador cualificado, el cual podrá conservar la información relativa a los servicios prestados hasta entonces.

Por lo que se refiere a su responsabilidad, señala la norma los prestadores de servicios electrónicos de confianza asumirán toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios electrónicos de confianza, incluyendo las actuaciones de comprobación de identidad previas a la expedición de un certificado cualificado. Sin embargo, recoge un listado de supuestos en los que no será responsable.

El texto también contempla el inicio de la prestación de servicios electrónicos de confianza no cualificados, disponiendo que los prestadores de los mismos no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero sí deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien, siendo este mismo plazo el aplicable a la comunicación de la modificación de los datos inicialmente transmitidos y el cese de su actividad.

Por el contrario, para los servicios cualificados prevé un sistema de verificación previa de cumplimiento de los requisitos que se imponen. Así, diseña un sistema mixto de colaboración público-privada para la supervisión de los prestadores cualificados, pues su inclusión en la lista de confianza, que permite iniciar esa actividad, debe basarse en un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado por un organismo nacional de acreditación, establecido en alguno de los Estados miembros de la Unión Europea. A partir de entonces, los prestadores cualificados deberán remitir el citado informe al menos cada veinticuatro meses.

Por último, la norma recoge las obligaciones de seguridad de la información, así como las relativas al tratamiento de datos personales.

Supervisión y control

El texto atribuye al Ministerio de Asuntos Económicos y Transformación Digital el control del cumplimiento por los prestadores de servicios electrónicos de confianza cualificados y no cualificados que ofrezcan sus servicios al público de las obligaciones que se les imponen, así como las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control.

A estos efectos, se dispone que los prestadores de servicios de confianza, la entidad nacional de acreditación, los organismos de evaluación de la conformidad, los organismos de certificación y cualquier otra persona o entidad relacionada con el prestador de servicios de confianza, tienen la obligación de facilitar al Ministerio toda la información y colaboración precisas para el ejercicio de sus funciones.

El Ministerio mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

Régimen sancionador

La norma tipifica en leves, graves y muy graves las infracciones derivadas del incumplimiento de las obligaciones que impone a los prestadores de servicios de confianza, y concreta las sanciones correspondientes a cada una de ellas, pero previéndose la división en tramos de la horquilla sancionadora para la determinación de la multa imponible, en atención a los criterios de graduación concurrentes. Su imposición corresponde, en el caso de infracciones muy graves, al titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, al titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Todo ello sin perjuicio de la posibilidad prevista en el artículo 20.3 del Reglamento (UE) 910/2014 de retirar la cualificación al prestador o servicio que presta, y su exclusión de la lista de confianza, en determinados supuestos.

Modificaciones legislativas

– Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información: se modifica el apartado 1 del artículo 2

– Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil: del artículo 326 se modifica su apartado 3 y se le añade un nuevo apartado 4

– Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico: se modifica el primer párrafo del apartado 1 del artículo 35, el primer párrafo del artículo 37 y el artículo 43; se añade un nuevo artículo 12 ter, un nuevo artículo 36 bis y doce nuevas letras de la j) a la u) al apartado 3 y diez nuevas letras de la j) a la s) al apartado 4 del artículo 38; y se deroga el artículo 25

– Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio: se introduce una nueva disposición adicional séptima

Y quedan derogadas las siguientes normas:

– Ley 59/2003, de 19 de diciembre, de firma electrónica

– Artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

– Orden del Ministerio de Fomento de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica

Entrada en vigor y disposiciones transitorias

La Ley 6/2020, de 11 de noviembre, entra en vigor el 13 de noviembre de 2020, al día siguiente de su publicación en el Boletín Oficial del Estado.
Los prestadores de servicios no cualificados que ya vinieran prestando servicios deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses a contar desde la entrada en vigor de la Ley. Se exceptúan aquellos que hubieran comunicado los servicios prestados al Ministerio de Asuntos Económicos y Transformación Digital antes de la entrada en vigor de la norma.

Y hasta que se desarrolle reglamentariamente el Documento Nacional de Identidad, se mantendrá en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.