LOS PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA. RESPONSABILIDAD Y SEGUROS

LOS PRESTADORES DE SERVICIOS ELECTRÓNICOS DE CONFIANZA: DEBERES, RESPONSABILIDAD Y SEGUROS 

I. EL REGLAMENTO (UE) Nº 910/2014, DE 23 DE JULIO, RELATIVO A LA IDENTIFICACIÓN ELECTRÓNICA Y LOS SERVICIOS DE CONFIANZA PARA LAS TRANSACCIONES ELECTRÓNICAS EN EL MERCADO INTERIOR

El Reglamento (UE) nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, derogó la Directiva 1999/93/CE de firma electrónica. Desde el 1 de julio de 2016 resulta de aplicación dicho Reglamento por ser directamente aplicable, por lo que quedó desplazada jurídicamente la Ley 59/2003, de 19 de diciembre, de firma electrónica en todo aquello regulado por aquél.

El citado Reglamento (UE) regula en un mismo cuerpo normativo, por un lado, la identificación y, por otro,  los servicios de confianza electrónicos en sentido amplio, armonizando y facilitando el uso transfronterizo de los servicios en línea, públicos y privados, así como el comercio electrónico en la UE, contribuyendo así al desarrollo del mercado único digital.

a) Identificación electrónica. Las personas físicas únicamente tienen capacidad para la firma electrónica, por lo que no prevé la emisión de certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica. A estas se reservan los sellos electrónicos, que permiten garantizar la autenticidad e integridad de documentos tales como facturas electrónicas. Sin perjuicio de lo anterior, las personas jurídicas podrán actuar por medio de los certificados de firma de aquellas personas físicas que legalmente les representen.

El Reglamento (UE) 910/2014 garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita. Permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general.

El Reglamento consagra la aceptación mutua, para el acceso a los servicios públicos en línea, de los sistemas nacionales de identificación electrónica que hayan sido notificados a la Comisión Europea por parte de los Estados miembros, con objeto de facilitar la interacción telemática segura con las Administraciones públicas y su utilización para la realización de trámites transfronterizos.

b) Servicios electrónicos de confianza.  Introduce una regulación armónica de nuevos servicios electrónicos de confianza, adicionales a la tradicional firma electrónica. En particular:

— el sello electrónico de persona jurídica,

— el servicio de validación de firmas y sellos cualificados,

— el servicio de conservación de firmas y sellos cualificados,

— el servicio de sellado electrónico de tiempo,

— el servicio de entrega electrónica certificada

— y el servicio de expedición de certificados de autenticación web

Estos servicios pueden ser combinados entre sí para la prestación de servicios complejos e innovadores.

Establece el régimen jurídico específico para los citados servicios electrónicos de confianza cualificados, que se justifica por la singular relevancia probatoria que poseen respecto de los servicios no cualificados. Con ello, el Reglamento refuerza la seguridad jurídica de las transacciones electrónicas entre empresas, particulares y AAPP.

Una de las exigencias del Reglamento (UE) se centra en garantizar a la seguridad de los servicios de confianza frente a actos deliberados o fortuitos que afecten a sus productos, redes o sistemas de información. Impone a todos los prestadores de servicios de confianza, cualificados y no cualificados, la obligación de adoptar las medidas técnicas y organizativas que reduzcan los riesgos para la seguridad de los servicios de confianza que prestan frente a actos deliberados o fortuitos que afecten a sus productos, redes o sistemas de información.

Garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general.

Introduce la posibilidad de prestación de servicios innovadores basados en soluciones móviles y en la nube, como la firma y sellos electrónicos remotos.

II. LA LEY 6/2020, DE 11 DE NOVIEMBRE, REGULADORA DE DETERMINADOS ASPECTOS DE LOS SERVICIOS ELECTRÓNICOS DE CONFIANZA

a) Objeto

El objeto de la Ley es adaptar nuestro ordenamiento jurídico al marco regulatorio de la UE con respeto a lo ya previsto en el citado Reglamento. La función de esta Ley es complementaria en aquellos aspectos concretos que el Reglamento no armoniza y que cuyo desarrollo queda reservado a los diferentes Estados miembros, cuyas disposiciones han de ser interpretadas con él. Esta Ley deroga la Ley 59/2003 de firma electrónica y el artículo 25 de La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, referido a los terceros de confianza.

b) Ámbito de aplicación

La Ley se aplica a los prestadores públicos y privados de servicios electrónicos de confianza establecidos en España. Asimismo, se aplicará a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.

c) Verificación de la identidad del solicitante del certificado

La identidad de quien solicite el certificado se acreditará con el documento nacional de identidad mediante su personación de la persona física ante los encargados de verificarla.

La personación puede sustituirse por la solicitud del certificado de expedición con firma legitimada en presencia notarial.

Se admite que mediante orden del Ministerio de Asuntos Económicos y Transformación Digital la posibilidad  en la determinación de otras condiciones o requisitos técnicos de verificación de la identidad a distancia y, si procede otros atributos específicos de la persona solicitante del certificado, mediante otros métodos de identificación como videoconferencia o video-identificación que aporten una seguridad equivalente en términos de fiabilidad de la presencia física según su evaluación por un organismo de evaluación de la conformidad.

d) Identidad de los titulares de certificados

i) Certificado de firma electrónica y de autenticación de sitio web expedidos a personas físicas: nombre y apellidos y documento nacional de identidad, de extranjero o fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca

ii) Certificado de sello electrónico y de autenticación de sitio web expedidos a las personas jurídicas: denominación o razón social y su número de identificación fiscal. En defecto de este, otro código identificativo que el identifique de forma unívoca y permanente en el tiempo, tal y como se recoja en los registros oficiales.

e) Duración de los certificados

Los certificados se extinguen por caducidad o mediante renovación por los prestados de servicios electrónicos de confianza.

El período de vigencia de los certificados cualificados no será superior a cinco años. No se permite a los prestadores de servicios el denominado «encadenamiento» en la renovación de certificados cualificados utilizando uno vigente, más que una sola vez,

Entre las causas de revocación se encuentran:

– Solicitud del firmante, representante, tercero autorizado…

– peligro para el secreto de los datos de creación de firma o de sello, o utilización indebida de dichos datos por un tercero

– fallecimiento o modificación de la capacidad

– por concluir la representación

– descubrimiento de la falsedad o inexactitud de los datos aportados para la expedición

- resolución judicial o administrativa que lo ordene

Existen casos en los que cabe suspender la vigencia de los certificados electrónicos.

El prestador de servicios electrónicos de confianza comunicará al titular, por un medio que acredite la entrega y recepción efectiva siempre que sea factible, la revocación o suspensión, especificando los motivos y la fecha y la hora en que el certificado quedará sin efecto.

f) Obligaciones de los prestadores de servicios electrónicos de confianza

Constitución de un seguro de responsabilidad civil por importe mínimo de 1.500.000 €, excepto si el prestador pertenece al sector público. Si presta más de un servicio cualificado de los previstos en el Reglamento (UE) 910/2014, se añadirán 500.000 euros más por cada tipo de servicio.

La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea coherente con el importe.

En definitiva, podrá ser un seguro de responsabilidad civil, aval bancario o seguro de caución ( o una combinación).

Todos los prestadores de servicios de confianza, cualificados y no cualificados, deben adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad significativos.

Los prestadores de servicios de confianza que expidan certificados electrónicos deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público.

Deben conservar la información relativa a los servicios prestados durante 15 años desde la extinción del certificado o la finalización del servicio prestado.

g) Responsabilidad de los prestadores de servicios electrónicos de confianza

Los prestadores de servicios electrónicos de confianza responderán frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios electrónicos de confianza, incluyendo la comprobación de la identidad previas a la expedición de un certificado cualificado.

Limitaciones de responsabilidad: a quien presta y a terceros de buena si incurre en los supuestos previstos en el Reglamento (UE) y en los previstos en la Ley (art.11).

Exoneración de responsabilidad: inexactitud de los datos que consten en un certificado electrónico si estos le han sido acreditados mediante documento público u oficial, inscrito en un registro público si así resulta exigible.

También en el caso de que el destinatario actúa de forma negligente, que se produce cuando no tenga en cuenta la suspensión o pérdida de la vigencia del certificado electrónico, o cuando no verifique la firma o sello electrónico.