Ordenación de los servicios electrónicos de confianza y derogación de la Ley de firma electrónica

El BO de 12 de noviembre de 2020 publica la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, cuyo objeto es regular determinados aspectos de los servicios electrónicos de confianza, como complemento del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. Esta Ley deroga la Ley 59/2003, de 19 de diciembre, de firma electrónica, y con ella aquellos preceptos incompatibles con el referido Reglamento.

Antecedentes

La Ley 59/2003, de 19 de diciembre, de firma electrónica, supuso la transposición al ordenamiento jurídico español de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se estableció un marco comunitario para la firma electrónica, se encuentra desde entonces jurídicamente desplazada en todo aquello regulado por el citado Reglamento.

En lugar de una revisión de la Directiva 1999/93/CE, la elección de un reglamento como instrumento legislativo por el legislador europeo, de aplicación directa en los Estados miembros, vino motivada por la necesidad de reforzar la seguridad jurídica en el seno de la Unión, terminando con la dispersión normativa provocada por las transposiciones de la citada Directiva en los ordenamientos jurídicos internos a través de leyes nacionales, que había provocado una importante fragmentación e imposibilitado la prestación de servicios transfronterizos en el mercado interior, agravada por las diferencias en los sistemas de supervisión aplicados en cada Estado miembro. Así, mediante el Reglamento (UE) 910/2014 se pretendió regular en un mismo instrumento normativo de aplicación directa en los Estados miembros dos realidades, la identificación y los servicios de confianza electrónicos en sentido amplio, armonizando y facilitando el uso transfronterizo de los servicios en línea, públicos y privados, así como el comercio electrónico en la UE, contribuyendo así al desarrollo del mercado único digital. Por una parte, en el ámbito de la identificación electrónica, el Reglamento instauró la aceptación mutua, para el acceso a los servicios públicos en línea, de los sistemas nacionales de identificación electrónica que hayan sido notificados a la Comisión Europea por parte de los Estados miembros, con objeto de facilitar la interacción telemática segura con las Administraciones públicas y su utilización para la realización de trámites transfronterizos, eliminando esta barrera electrónica que excluía a los ciudadanos del pleno disfrute de los beneficios del mercado interior. Por otra parte, introdujo la regulación armónica de nuevos servicios electrónicos cualificados de confianza, adicionales a la tradicional firma electrónica, tales como el sello electrónico de persona jurídica, el servicio de validación de firmas y sellos cualificados, el servicio de conservación de firmas y sellos cualificados, el servicio de sellado electrónico de tiempo, el servicio de entrega electrónica certificada y el servicio de expedición de certificados de autenticación web, que pueden ser combinados entre sí para la prestación de servicios complejos e innovadores. Se establece un régimen jurídico específico para los citados servicios electrónicos de confianza cualificados, consecuente con las elevadas exigencias de supervisión y seguridad que soportan, y cuyo reflejo es la singular relevancia probatoria que poseen respecto de los servicios no cualificados. Con ello se reforzó la seguridad jurídica de las transacciones electrónicas entre empresas, particulares y Administraciones públicas.

Función complementaria

La aplicabilidad directa del Reglamento no privó a los Estados miembros de toda capacidad normativa sobre la materia regulada, es más, aquellos están obligados a adaptar los ordenamientos nacionales para garantizar que aquella cualidad se haga efectiva. Esta adaptación puede exigir tanto la modificación o derogación de normas existentes, como la adopción de nuevas disposiciones llamadas a completar la regulación europea.

Por la razón apuntada, el objeto de esta Ley es, por tanto, adaptar el ordenamiento jurídico al marco regulatorio de la Unión Europea, evitando así la existencia de vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de servicios electrónicos de confianza. Ello justica que la presente Ley no realice una regulación sistemática de los servicios electrónicos de confianza, que ya han sido legislados por el Reglamento (UE) 910/2014, el cual, por respeto al principio de primacía del Derecho de la Unión Europea, no debe reproducirse total o parcialmente. La función de esta Ley es complementarlo en aquellos aspectos concretos que el Reglamento no ha armonizado y cuyo desarrollo prevé en los ordenamientos de los diferentes Estados miembros, cuyas disposiciones han de ser interpretadas de acuerdo con él.

Expedición y contenido de los certificados cualificados

Por lo que respecta a los certificados electrónicos, se introducen en la Ley varias disposiciones relativas a la expedición y contenido de los certificados cualificados, cuyo tiempo máximo de vigencia se mantiene en cinco años. En este sentido, no se permite a los prestadores de servicios el denominado «encadenamiento» en la renovación de certificados cualificados utilizando uno vigente, más que una sola vez, por razones de seguridad en el tráfico jurídico. Sin perjuicio de lo anterior, el Reglamento (UE) 910/2014 contempla la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física. Haciéndose eco de esta previsión, la Ley habilita a que reglamentariamente se regulen las condiciones y requisitos técnicos que lo harían posible. Los certificados cualificados expedidos a personas físicas incluirán el número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, salvo en los casos en los que el titular carezca de todos ellos. La misma regla se aplica en cuanto al número de identificación fiscal de las personas jurídicas o sin personalidad jurídica titulares de certificados cualificados, que en defecto de este han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

Obligaciones de los prestadores

En lo que se refiere a las obligaciones de los prestadores, la Ley establece el requisito de constitución de una garantía económica para la prestación de servicios cualificados de confianza. Se fija una cuantía mínima única de 1.500.000 euros, que se incrementa en 500.000 euros por cada tipo de servicio adicional que se preste, lo que se estima suficiente para cubrir los riesgos derivados del servicio, tiene en cuenta la diversidad de servicios en el mercado y no penaliza a los prestadores con mayor oferta.

Todos los prestadores de servicios de confianza, cualificados y no cualificados, están sometidos a la obligación de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado. Esta Ley sanciona el incumplimiento de las citadas obligaciones.

A fin de garantizar que estos servicios electrónicos obtengan el mismo reconocimiento jurídico que aquellos utilizados en un entorno completamente gestionado por el usuario, estos prestadores deben aplicar procedimientos de seguridad específicos y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, para garantizar que el entorno es fiable y se utiliza bajo el control exclusivo del titular. Se pretende alcanzar, así, un equilibrio entre la facilidad para el acceso y el uso de los servicios, sin detrimento de la seguridad.

Supervisión de los prestadores cualificados

La Ley diseña un sistema mixto de colaboración público-privada para la supervisión de los prestadores cualificados, pues su inclusión en la lista de confianza, que permite iniciar esa actividad, debe basarse en un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado por un organismo nacional de acreditación, establecido en alguno de los Estados miembros de la Unión Europea. A partir de ese momento, los prestadores cualificados deberán remitir el citado informe al menos cada veinticuatro meses. Por su parte, los prestadores de servicios no cualificados pueden prestar servicios sin verificación previa de cumplimiento de requisitos, sin perjuicio de su sujeción a las potestades de seguimiento y control posterior de la Administración. No obstante, deberán comunicar al órgano supervisor la prestación del servicio en el plazo de tres meses desde que inicien su actividad, a los meros efectos de conocer su existencia y posibilitar su supervisión.

Régimen sancionador

Por último, la Ley define el régimen sancionador aplicable a los prestadores cualificados y no cualificados de servicios electrónicos de confianza, sin perjuicio de la posibilidad ya prevista en el art. 20.3 del Reglamento (UE) 910/2014 de retirar la cualificación al prestador o servicio que presta, y su exclusión de la lista de confianza, en determinados supuestos. Asimismo, se adecúan las cuantías de las sanciones, reduciéndose a la mitad la máxima imponible respecto a la legislación anterior, y se prevé la división en tramos de la horquilla sancionadora para la determinación de la multa imponible, en atención a los criterios de graduación concurrentes.

Deja un comentario