PUBLICADA LA LEY DE SERVICIOS ELECTRÓNICOS DE CONFIANZA


(BOE 12/11/2020, con entrada en vigor el mismo día)

Se publica en el BOE la La Ley 6/2020, de 11 de noviembre, por la que se adapta el ordenamiento jurídico español al Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/C, mediante la regulación de determinados aspectos de los servicios electrónicos de confianza.

Se refuerza así la seguridad jurídica y se da un paso más en la ordenación del proceso de digitalización de la economía y la sociedad, en beneficio de los ciudadanos. En concreto, esta norma se refiere a servicios electrónicos de confianza como la firma y sello electrónicos de personas físicas y jurídicas, o el sello de tiempo electrónico, que son utilizados habitualmente en las relaciones telemáticas de ciudadanos, empresas y Administraciones públicas.

La Ley regula, entre otros aspectos:

  • La comprobación de la identidad y atributos de los solicitantes de un certificado cualificado
  • El régimen de responsabilidad y de previsión de riesgo de los prestadores de servicios
  • El tiempo máximo de vigencia de los certificados
  • El tiempo de conservación de los datos de prestación de servicio
  • Los efectos jurídicos de los documentos electrónicos, cuando se haya utilizado un servicio de confianza cualificado.
  • Un nuevo régimen sancionador ampliado al conjunto de los servicios de confianza y adecuado al reglamento europeo

Además, designa al Ministerio de Asuntos Económicos y Transformación Digital como organismo responsable de la supervisión de los prestadores de servicios de confianza y de la construcción de la Lista de Servicios de Confianza.

 

Ámbito de aplicación. Prestadores de servicios electrónicos de confianza

 

La norma es aplicable a los prestadores públicos y privados de servicios electrónicos de confianza – cualificados y no cualificados – establecidos en España, así como a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.

La norma no incorpora una regulación sistemática de los servicios electrónicos de confianza, sino que complementa el citado Reglamento en algunos aspectos a fin de evitar la existencia de vacíos normativos en la prestación de dichos servicios.

Con esta finalidad, el texto incluye el régimen de previsión de riesgo de los prestadores cualificados, el régimen sancionador, la comprobación de la identidad y atributos de los solicitantes de un certificado cualificado, la inclusión de requisitos adicionales a nivel nacional para certificados cualificados tales como identificadores nacionales, o su tiempo máximo de vigencia, así como las condiciones para la suspensión de los certificados.

Entre los prestadores cualificados en nuestro país se encuentran la Fábrica Nacional de Moneda y Timbre (FNMT), la Dirección General de la Policía, Consejo General de la Abogacía (ACA), etc.

 

Eficacia jurídica (probatoria) de los documentos electrónicos

 

La Ley atribuye a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria.

Así, los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable, mientras que la prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (en su nueva redacción):

Cuando la parte a quien interese la eficacia de un documento electrónico lo solicite o se impugne su autenticidad, integridad, precisión de fecha y hora u otras características del documento electrónico que un servicio electrónico de confianza no cualificado de los previstos en el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, permita acreditar, se procederá con arreglo a lo establecido en el apartado 2 del presente artículo y en el Reglamento (UE) n.º 910/2014.

Con ello se simplifica la prueba, pues basta la mera constatación de la inclusión del citado servicio en la lista de confianza de prestadores cualificados de servicios electrónicos para que tal documento tenga una consideración privilegiada como medio de prueba.

 

Efectos jurídicos de los sistemas utilizados en las Administraciones públicas

 

Todos los sistemas de identificación, firma y sello electrónico previstos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrán plenos efectos jurídicos.

 

Certificados electrónicos

 

  • Vigencia: Se establece la vigencia máxima de los certificados electrónicos en cinco años, fijándose dicho periodo en atención a las características y tecnología empleada para generar los datos de creación de firma, sello, o autenticación de sitio web.

 

  • Revocación y suspensión: el texto detalla aquellos supuestos en los que prestadores de servicios electrónicos de confianza extinguirán o suspenderán la vigencia de los certificados electrónicos. En los casos de suspensión, la vigencia del certificado se extinguirá si transcurrido el plazo de duración de la suspensión, el prestador no la hubiera levantado.

 

  • Se limita, por razones de seguridad, el “encadenamiento” en la renovación de certificados cualificados utilizando uno vigente, limitándolo a una sola vez.

 

  • Identidad y atributos de los titulares de certificados cualificados: los expedidos a personas físicas incluirán el número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, salvo en los casos en los que el titular carezca de todos ellos.
    La misma regla se aplica en cuanto al número de identificación fiscal de las personas jurídicas o sin personalidad jurídica titulares de certificados cualificados, que en defecto de este han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.
    Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.

 

  • Procedimiento de comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado: la norma habilita a que reglamentariamente se regulen las condiciones y requisitos técnicos que lo harían posible.

 

Prestadores de servicios electrónicos de confianza

 

Obligaciones

 

  • Se les exige publicar información veraz y acorde con la nueva norma y el Reglamento (UE) 910/2014, así como no almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.

 

  • Deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público.

 

  • Se les impone la constitución de una garantía económica para la prestación de servicios cualificados de confianza. Se fija una cuantía mínima única de 1.500.000 euros, que se incrementa en 500.000 euros por cada tipo de servicio adicional que se preste.

 

  • Todos los prestadores de servicios de confianza, cualificados y no cualificados, vienen obligados a adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como a notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado.

 

  • Cese de actividad: el prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses. El plan de cese del prestador de servicios puede incluir la transferencia de clientes, una vez acreditada la ausencia de oposición de los mismos, a otro prestador cualificado, el cual podrá conservar la información relativa a los servicios prestados hasta entonces.

 

Responsabilidad

 

Los prestadores de servicios electrónicos de confianza asumirán toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios electrónicos de confianza, incluyendo las actuaciones de comprobación de identidad previas a la expedición de un certificado cualificado.

 

Inicio de la prestación

 

Los prestadores de los servicios electrónicos de confianza no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero sí deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien, siendo este mismo plazo el aplicable a la comunicación de la modificación de los datos inicialmente transmitidos y el cese de su actividad.

Si que se prevé, por el contrario y para los prestadores de servicios cualificados, un sistema de verificación previa de cumplimiento de los requisitos que se imponen mediante un sisntema mixto de colaboración público-privada para la supervisión y que incluirá un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado por un organismo nacional de acreditación, establecido en alguno de los Estados miembros de la Unión Europea. Dicho informe de acreditación deberá ser renovado al menos cada veinticuatro meses.

Por último, la norma recoge las obligaciones de seguridad de la información, así como las relativas al tratamiento de datos personales.

 

Supervisión y control

 

Corresponderá al  Ministerio de Asuntos Económicos y Transformación Digital el control del cumplimiento por los prestadores de servicios electrónicos de confianza cualificados y no cualificados que ofrezcan sus servicios al público de las obligaciones que se les imponen, así como las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control.

A estos efectos, se dispone que los prestadores de servicios de confianza, la entidad nacional de acreditación, los organismos de evaluación de la conformidad, los organismos de certificación y cualquier otra persona o entidad relacionada con el prestador de servicios de confianza, tienen la obligación de facilitar al Ministerio toda la información y colaboración precisas para el ejercicio de sus funciones.

El Ministerio mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

 

Régimen sancionador

 

La norma tipifica en leves, graves y muy graves las infracciones derivadas del incumplimiento de las obligaciones que impone a los prestadores de servicios de confianza, y concreta las sanciones correspondientes a cada una de ellas, pero previéndose la división en tramos de la horquilla sancionadora para la determinación de la multa imponible, en atención a los criterios de graduación concurrentes. Su imposición corresponde, en el caso de infracciones muy graves, al titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, al titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Todo ello sin perjuicio de la posibilidad prevista en el artículo 20.3 del Reglamento (UE) 910/2014 de retirar la cualificación al prestador o servicio que presta, y su exclusión de la lista de confianza, en determinados supuestos.

 

Modificaciones legislativas

 

  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información: se modifica el apartado 1 del artículo 2

 

  • Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil: del artículo 326 se modifica su apartado 3 y se le añade un nuevo apartado 4

 

  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico: se modifica el primer párrafo del apartado 1 del artículo 35, el primer párrafo del artículo 37 y el artículo 43; se añade un nuevo artículo 12 ter, un nuevo artículo 36 bis y doce nuevas letras de la j) a la u) al apartado 3 y diez nuevas letras de la j) a la s) al apartado 4 del artículo 38; y se deroga el artículo 25

 

  • Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio: se introduce una nueva disposición adicional séptima

 

  • Hasta que se desarrolle reglamentariamente el Documento Nacional de Identidad, se mantendrá en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.

 

Se derogan las siguientes normas

 

  • Ley 59/2003, de 19 de diciembre, de firma electrónica

 

  • Artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

 

  • Orden del Ministerio de Fomento de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica

 

Por último, los prestadores de servicios no cualificados que ya vinieran prestando servicios deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses a contar desde la entrada en vigor de la Ley. Se exceptúan aquellos que hubieran comunicado los servicios prestados al Ministerio de Asuntos Económicos y Transformación Digital antes de la entrada en vigor de la norma

Ley completa