El pasado 13 de noviembre de 2020 entró en vigor la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. El objetivo de esta Ley es la adecuación al Reglamento (UE) Nº 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, también conocido como Reglamento eIDAS.
Esta nueva normativa pretende armonizar aquellos aspectos que el Reglamento no desarrolla y deja en manos de los Estados miembros. No obstante, en su intento de no legislar sobre cuestiones ya mencionadas, la Ley falla y no culmina su objetivo de establecer un marco normativo para que los Prestadores españoles puedan actuar en igualdad de condiciones respecto a sus homólogos europeos.
A continuación analizamos las medidas más relevantes introducidas por la Ley 6/2020, que se aplica a los prestadores españoles y a los residentes o domiciliados en otro Estado que tengan un establecimiento permanente en España y no estén supervisados por otra autoridad competente de la UE:
Certificados electrónicos
En su articulado, la Ley establece un período de vigencia máximo de cinco años, así como los supuestos de revocación de los certificados. De esta forma, limita el período de validez respecto a los certificados emitidos por prestadores extranjeros. Además, sólo se podrá renovar el certificado cualificado una vez utilizando otro ya vigente.
En relación a la identidad, los certificados de persona física incluirán el número de DNI, NIE o NIF, salvo que el titular carezca de ellos. Solo entonces se podrán sustituir por otro código o número identificativo. En el caso de los certificados de personas jurídicas o entidades sin personalidad jurídica, se identificarán mediante su denominación social y NIF; y, de no tenerlo, se usará código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales. Sin embargo, la Ley no menciona la posibilidad de incluir los pasaportes a pesar de que sí que es un método válido, según la misma, para verificar la identidad y que la ETSI EN 319-412-1 lo recoge entre los atributos que puede incluirse como “Serial number”.
Asimismo, en relación con los certificados PSD2, los estándares ETSI establecen la inclusión del número de identificación del PSP y no del NIF. Este identificador viene especificado por la Autoridad Nacional Competente (en nuestro país es el Banco de España). Por tanto, existe un solapamiento de la Ley 6/2020 con los estándares técnicos que pueden llevar a diferentes interpretaciones. ¿Puede ser considerado el PSP identifier como el código que les identifique de manera unívoca? No queda claro y podría suponer una desventaja competitiva para los prestadores radicados en España quien emitan certificados PSD2.
Además, en el artículo 7, se establece la posibilidad de realizar la validación a distancia en función de unas medidas y requisitos técnicos establecidos por Orden Ministerial, tomando como punto de partida los estándares comunitarios. Sin embargo, de momento no hay ninguna normativa que regule la identificación a distancia, más allá de lo establecido en el RD 11/2020 cuyo articulado quedó derogado al terminar el Estado de Alarma decretado en marzo. En aquel momento, el organismo supervisor podía aceptar los métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Sepblac.
En consecuencia, nos encontramos en una situación en la que no se permite la identificación a distancia al no haber regulación a pesar de que la Ley ha sido aprobada en un momento excepcional en el que la movilidad se encuentra muy limitada y que impide a muchos usuarios poder tener acceso a un certificado electrónico.
Otro aspecto que introduce el articulado es que únicamente las personas físicas están capacitadas para firmar electrónicamente, es decir, no se contempla la emisión de certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica. Por tanto, estas solo pueden firmar a través de aquellas personas físicas que las representen legalmente.
Obligaciones de los prestadores
Los prestadores cualificados deben tener un seguro de responsabilidad civil por un importe mínimo de 1.500.000 €, excepto si pertenecen al sector público. Además, por cada servicio cualificado extra que preste debe añadir 500.000 €.
Igualmente, todos los prestadores están obligados a adoptar las medidas necesarias para resolver los incidentes de seguridad y de notificar las violaciones de seguridad o pérdidas de la integridad al Organismo Supervisor.
Supervisión y control
Según el artículo 16, el Ministerio debe dictar y notificar la resolución del procedimiento de verificación en un plazo máximo de 6 meses. Sin embargo, de acuerdo con el artículo 21.2 del Reglamento eIDAS, si este procedimiento no ha terminado en un plazo de 3 meses, el supervisor debe informar al prestador sobre el porqué de la demora y el plazo previsto de finalización del procedimiento.
Infracciones y sanciones
La Ley establece además un régimen sancionador en función de una serie de infracciones tipificadas en el mismo articulado, además de las establecidas por el eIDAS. Se contempla la exclusión del prestador de la lista de confianza, según determinados supuestos.
Disposiciones adicionales
En la disposición adicional segunda, se contemplan los plenos efectos jurídicos de los sistemas utilizados en las Administraciones Públicas, haciendo referencia a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. No obstante, debería incluirse también la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia.
Por otro lado, queda derogada la Ley 59/2003 de 19 de diciembre, de firma electrónica y el artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, eliminando la figura del Tercero de Confianza al quedar subsumido en los tipos regulados por el Reglamento.
La nueva Ley, además de modificar el artículo 326.3 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, añade un apartado 4. Este otorga fuerza probatoria a los servicios electrónicos de confianza cualificados y es responsabilidad de la parte que impugna demostrar la invalidez.
En definitiva, nos encontramos con una Ley que llega tarde y que presenta deficiencias que pueden generar inseguridad en los prestadores de confianza. A pesar de ser una ley que complementa al Reglamento europeo, legisla sobre determinados aspectos ya recogidos por el mismo y deja de lado otros tan relevantes como la video identificación. Por lo tanto, aunque finalmente España se dota de la legislación necesaria, todavía falta coherencia en el texto para poder crear un marco normativo robusto y eficaz.
Si te ha gustado este artículo visita nuestro blog o nuestra página web.