Publicada la Ley de servicios electrónicos de confianza

Entrando en vigor el 13 de noviembre de 2020, se publica en el BOE del día 12 la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

Esta norma tiene por objeto regular determinados aspectos de los servicios electrónicos de confianza, como complemento del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Se aplicará a los prestadores públicos y privados de servicios electrónicos de confianza establecidos en España.

Así mismo, se aplicará a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.

¿Qué son los servicios de confianza?

El Reglamento de la UE N.º 910/2014, de 23 de julio, los define en su artículo 3 como:

"16) «servicio de confianza», el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en:

a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o

b) la creación, verificación y validación de certificados para la autenticación de sitios web, o

c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios".

El objetivo de la Ley 6/2020, de 11 de noviembre, es complementar el Reglamento (UE) 910/2014 en aquellos aspectos que este no ha armonizado y que se dejan al criterio de los Estados miembros. Por tanto, la Ley se abstiene de reproducir las previsiones del Reglamento, abordando únicamente aquellas cuestiones que la norma europea remite a la decisión de los Estados miembros o que no se encuentran armonizadas, adquiriendo la regulación coherencia y sentido en el marco de la normativa europea.

Así, en virtud del principio de proporcionalidad, esta Ley contiene la regulación imprescindible para cubrir aquellos aspectos previstos en el Reglamento (UE) 910/2014, como es el caso, entre otros, del régimen de previsión de riesgo de los prestadores cualificados, el régimen sancionador, la comprobación de la identidad y atributos de los solicitantes de un certificado cualificado, la inclusión de requisitos adicionales a nivel nacional para certificados cualificados tales como identificadores nacionales, o su tiempo máximo de vigencia, así como las condiciones para la suspensión de los certificados.

El Reglamento (UE) 910/2014 garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general. En este aspecto, se modifica la regulación anterior al atribuir a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria. A este respecto, se simplifica la prueba, pues basta la mera constatación de la inclusión del citado servicio en la lista de confianza de prestadores cualificados de servicios electrónicos regulada en el artículo 22 del Reglamento (UE) 910/2014.

Por lo que respecta a los certificados electrónicos, se introducen en la Ley varias disposiciones relativas a la expedición y contenido de los certificados cualificados, cuyo tiempo máximo de vigencia se mantiene en cinco años. En este sentido, no se permite a los prestadores de servicios el denominado «encadenamiento» en la renovación de certificados cualificados utilizando uno vigente, más que una sola vez, por razones de seguridad en el tráfico jurídico. Sin perjuicio de lo anterior, el Reglamento (UE) 910/2014 contempla la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física. Haciéndose eco de esta previsión, la Ley habilita a que reglamentariamente se regulen las condiciones y requisitos técnicos que lo harían posible.

Los certificados cualificados expedidos a personas físicas incluirán el número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, salvo en los casos en los que el titular carezca de todos ellos. La misma regla se aplica en cuanto al número de identificación fiscal de las personas jurídicas o sin personalidad jurídica titulares de certificados cualificados, que en defecto de este han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

En lo que se refiere a las obligaciones de los prestadores, la Ley establece el requisito de constitución de una garantía económica para la prestación de servicios cualificados de confianza. Se fija una cuantía mínima única de 1.500.000 euros, que se incrementa en 500.000 euros por cada tipo de servicio adicional que se preste, lo que se estima suficiente para cubrir los riesgos derivados del servicio, tiene en cuenta la diversidad de servicios en el mercado y no penaliza a los prestadores con mayor oferta.

Una de las exigencias del Reglamento (UE) 910/2014 se centra en garantizar la seguridad de los servicios de confianza frente a actos deliberados o fortuitos que afecten a sus productos, redes o sistemas de información. En este sentido, todos los prestadores de servicios de confianza, cualificados y no cualificados, están sometidos a la obligación de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado. Esta Ley sanciona el incumplimiento de las citadas obligaciones.

En respuesta a la evolución de la tecnología y las demandas del mercado, el Reglamento (UE) 910/2014 abre la posibilidad de prestación de servicios innovadores basados en soluciones móviles y en la nube, como la firma y sello electrónicos remotos, en los que el entorno es gestionado por un prestador de servicios de confianza en nombre del titular. A fin de garantizar que estos servicios electrónicos obtengan el mismo reconocimiento jurídico que aquellos utilizados en un entorno completamente gestionado por el usuario, estos prestadores deben aplicar procedimientos de seguridad específicos y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, para garantizar que el entorno es fiable y se utiliza bajo el control exclusivo del titular. Se pretende alcanzar, así, un equilibrio entre la facilidad para el acceso y el uso de los servicios, sin detrimento de la seguridad.

Esta Ley deroga la Ley 59/2003, de 19 de diciembre, de firma electrónica, y con ella aquellos preceptos incompatibles con el Reglamento (UE) 910/2014.

Así sucede con los antiguos certificados de firma de personas jurídicas, introducidos por la citada Ley de firma electrónica. El nuevo paradigma instaurado por el mencionado reglamento implica que únicamente las personas físicas están capacitadas para firmar electrónicamente, por lo que no prevé la emisión de certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica. A estas se reservan los sellos electrónicos, que permiten garantizar la autenticidad e integridad de documentos tales como facturas electrónicas. Sin perjuicio de lo anterior, las personas jurídicas podrán actuar por medio de los certificados de firma de aquellas personas físicas que legalmente les representen.

La Ley permite la posibilidad de que el órgano supervisor mantenga un servicio de difusión de información sobre los prestadores cualificados que operan en el mercado, con el fin de proporcionar a los usuarios información útil sobre los servicios que ofrecen en el desarrollo de su actividad.

Mediante la presente Ley se deroga también el artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, referido a los terceros de confianza, debido a que los servicios ofrecidos por este tipo de proveedores se encuentran subsumidos en los tipos regulados por el Reglamento (UE) 910/2014, fundamentalmente en los servicios de entrega electrónica certificada y de conservación de firmas y sellos electrónicos.

Las disposiciones adicionales se refieren: la primera a Fe pública y servicios electrónicos de confianza; la segunda a los efectos jurídicos de los sistemas utilizados en las Administraciones públicas; la tercera al Documento Nacional de Identidad y sus certificados electrónicos, y la cuarta al secreto de la identidad de los miembros del Centro Nacional de Inteligencia.

La disposición transitoria primera se refiere a la comunicación de actividad por prestadores de servicios no cualificados ya existentes, y la disposición transitoria segunda mantiene en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica, el cual constituye desarrollo reglamentario parcial de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

En las disposiciones finales se modifican diversas leyes. En la primera, la Ley 56/2007, de 28 de diciembre, de medidas de impulso de la sociedad de la información, de forma que las empresas que presten servicios al público en general de especial trascendencia económica deberán disponer de un medio seguro de interlocución telemática, no necesariamente basado en certificados electrónicos. Con ello, se flexibiliza la norma y se da cabida a otros medios de identificación generalmente usados en el sector privado.

En la disposición final segunda, se modifica la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, con objeto de adaptarla al nuevo marco regulatorio de los servicios electrónicos de confianza definido en esta Ley y en el Reglamento (UE) 910/2014. (Se modifica el apartado 3 y se añade un nuevo apartado 4 al artículo 326 de la LEC).

En la disposición final tercera, se modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, para adaptar su regulación al Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, referente a plataformas digitales.

En la disposición final cuarta se introduce una nueva disposición adicional séptima en la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio, para adaptar su regulación al Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimientos de los clientes en el mercado interior.