La nueva Ley reguladora de los servicios de confianza en España

El pasado 13 de noviembre de 2020 y tras meses de espera, entró en vigor la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, también conocida como Ley de Servicios de Confianza o popularmente como “la nueva ley de firma electrónica”; que tiene como objeto complementar la regulación ya establecida respecto de los servicios electrónicos de confianza y derogar completamente la Ley 59/2003 de firma electrónica.

Es importante destacar, tal como se indica en el preámbulo de la propia Ley 6/2020, que esta no nace con el objetivo de regular sistemáticamente los servicios electrónicos de confianza, ya que éstos ya han sido legislados por el Reglamento (UE) 910/2014 o Reglamento eIDAS, sino que viene a desarrollar ciertos aspectos complementarios que el legislador europeo dejaba en manos de los ordenamientos jurídicos nacionales de los diferentes Estados miembros. Recordemos que el Reglamento eIDAS es el encargado de armonizar en todo el territorio de la Unión Europea la identificación y los servicios electrónicos de confianza, dejando a los Estados miembros la responsabilidad de complementar y regular aquellas previsiones que el propio Reglamento eIDAS ha dejado al criterio del legislador nacional.

A continuación, destacamos los aspectos más relevantes que afectan principalmente a los servicios de confianza, en especial a la emisión de certificados electrónicos cualificados, a los propios prestadores de servicios de confianza, tanto cualificados como no cualificados, y al régimen de control y supervisión.

Certificados electrónicos

Respecto las novedades relativas al servicio de expedición de certificados electrónicos, cabe destacar aquellas que afectan al (i) ámbito de aplicación, al (ii) ciclo de vida de los certificados, a la (iii) consignación de la identidad de los titulares, y a la (iv) comprobación o determinación de su identidad.

La primera novedad importante a destacar es la ampliación del alcance de la regulación respecto de los certificados electrónicos a todos los tipos de certificados, sean de firma, sello o sede electrónica. A diferencia de lo que sucedía con la antigua Ley de Firma Electrónica, cuyas previsiones se focalizaban únicamente en los certificados de firma electrónica, las reglas que incorpora la Ley 6/2020 son de aplicación para todos los tipos de certificados electrónicos, como se indicaba certificados de firma, de sello y de sede electrónica.

En segundo lugar, el ciclo de vida de los certificados incluye pequeñas novedades que afectan a su duración, revocación y suspensión. Por lo que respecta la duración máxima de vigencia, la Ley 6/2020 la mantiene en un límite máximo de 5 años, pero dicho periodo deberá tener en cuenta las características y tecnología utilizada. Dicho lo cual, corresponderá al Prestador de Servicios de Confianza determinar el plazo máximo de vigencia de un certificado en atención a los productos, sistemas y algoritmos utilizados, asumiendo los riesgos que pudieran derivarse.

Por otro lado, existen novedades respecto de la revocación y suspensión de certificados. La Ley 6/2020 ajusta tímidamente el régimen relativo a la revocación de los certificados, modificando los supuestos previstos respecto de la antigua Ley de Firma Electrónica. En cuanto a lo que concierne la suspensión de certificados, esta pasa a ser opcional a diferencia de lo que sucedía en la anterior regulación, que era obligatoria.

Otros de los cambios más significativos residen en la consignación de la identidad y atributos de los titulares de certificados electrónicos cualificados. Cuando los certificados se expiden a personas físicas, se deberá consignar en el certificado su nombre y apellidos y el número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, excluyendo cualquier otro código o número, salvo que dicho titular y por causa lícita, no disponga de ninguno de ellos. Por otro lado, cuando se trate de certificados expedidos a personas jurídicas, los datos a consignar serán su denominación o razón social y su número de identificación fiscal, salvo que no disponga de este último y, en consecuencia, podrá indicarse otro código que permita su identificación de forma unívoca y permanente en el tiempo.

Sin perjuicio de lo anterior y también como novedad respecto de los atributos a consignar en los certificados, cuando exista una relación de representación, como por ejemplo en los certificados de representante legal, además de lo anterior, se deberá indicar el documento que acredite de forma fehaciente sus facultades, pudiendo ser un documento público si resultase exigible. Observamos por lo tanto que se amplía la posibilidad a la hora de acreditar una relación de representación, sin necesidad de recurrir obligatoriamente a instrumentos públicos, permitiendo en casos particulares la utilización de mandatos, cartas poder o autorizaciones de índole privada, siempre y cuando se acrediten de forma fehaciente las facultades. Esta previsión es especialmente importante para facilitar la obtención de certificados electrónicos a determinadas entidades sin personalidad jurídica o en el caso de entidades con un régimen jurídico particular.

Finalmente, y como la mayor novedad de esta Ley 6/2020, se contempla la posibilidad de la utilización de distintos métodos para la comprobación de la identidad de las personas. Aun cuando se mantiene el proceso de identificación presencial, se abre la posibilidad a otros medios de identificación como la video-identificación o videoreconocimiento, siempre y cuando aporten un nivel de seguridad equivalente en términos de fiabilidad a la presencia física y hayan sido evaluados por un organismo de evaluación de la conformidad. No obstante lo anterior, las condiciones y requisitos técnicos de dicho procedimiento de identificación deberán determinarse mediante Orden ministerial, en la actualidad a cargo del Ministerio de Asuntos Económicos y Transformación Digital.

En relación con los métodos de identificación, la Ley prevé la posibilidad de que los Prestadores de Servicios de Confianza incorporen en los certificados una mención al método de identificación utilizado, que de no ser así deberán colaborar con el resto de los Prestadores de Servicios de Confianza para determinar cunando se produjo la última personación.

Prestadores de Servicios electrónicos de Confianza

Por lo que se refiere al régimen aplicable a los Prestadores de Servicios electrónicos de Confianza, la Ley presenta modificaciones respecto de sus obligaciones y responsabilidades, incluyendo servicios de confianza cualificados y no cualificados. Entre las novedades más destacadas encontramos:

▸La exigencia expresa de los Prestadores a cumplir con la normativa de protección de datos y a publicar información veraz.

▸La obligación de disponer de un servicio de consulta respecto del estado de validez o revocación de los certificados, independientemente de que se trate de un servicio no cualificado -previsión que antiguamente únicamente afectaba a los Prestadores de Servicios de Confianza Cualificados-.

▸Modificación de la regla de conservación de la información, la cual se mantiene en 15 años, pero cuyo computo empieza al extinguirse el certificado electrónico o ante la finalización del servicio. Es importante destacar que la regla de conservación se aplica a todos los servicios de confianza y no exclusivamente a los certificados electrónicos.

▸Reducción del seguro de responsabilidad civil que deben constituir los Prestadores Cualificados, salvo si pertenecen al sector público, que pasa de un importe fijo de 3.000.000 euros, a un importe variable con un mínimo de 1.500.000 euros para el primer servicio de confianza cualificado, incrementándose en 500.000 euros por cada servicio extra prestado.

▸Se refuerza la obligatoriedad de los Prestadores a la hora de enviar el informe de evaluación de conformidad en tiempo y forma, ya que el incumplimiento conllevaría la retirada de la cualificación y exclusión de la lista de confianza.

Entre otras novedades, se incluyen obligaciones específicas para los Prestadores de Servicios electrónicos de Confianza no cualificados, los cuales a raíz de esta nueva Ley deben comunicar el inicio de la actividad al Ministerio. Es importante destacar que no se requiere verificación administrativa previa.

Asimismo, se refuerzan las obligaciones en materia de seguridad que han de cumplir los Prestadores de Servicios de Confianza no cualificados, debiendo adoptar las medidas que sean necesarias para resolver los incidentes de seguridad que pudieran afectarles y sujetándose a la obligación de notificación de incidentes de seguridad prevista en el Reglamento eIDAS.

Régimen de supervisión y de infracciones y sanciones

Se establece como órgano de supervisión al Ministerio de Asuntos Económicos y Transformación Digital y se le dota de facultades para poder adoptar directrices, recomendaciones e incluso requisitos y normas técnicas respecto la evaluación de conformidad. Mantiene sus atribuciones como órgano inspector para la supervisión y control de los prestadores de servicios de confianza.

Asimismo, entre las novedades más destacables de la Ley, se establece un régimen de infracciones y sanciones, categorizándolas entre leves, graves y muy graves, cuyas cuantías pueden oscilar hasta 50.000 euros para las leves y un máximo de 300.000 euros para las muy graves. Todo ello, sin perjuicio de la potestad del Ministerio para retirar la cualificación a los Prestadores en determinados supuestos, posibilidad que ya se preveía en el Reglamento eIDAS.

Otros aspectos

Se refuerzan los efectos jurídicos de los documentos electrónicos y se extiende el valor probatorio reforzado a todos los servicios de confianza cualificados. En este sentido, el valor probatorio y fehaciente que poseía la firma electrónica cualificada, como era la inversión de la carga de la prueba, se extiende a todos los servicios de confianza cualificados.

Conclusión

La promulgación de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, supone una adecuación necesaria del marco jurídico español para completar los preceptos del Reglamento eIDAS. Cobra especial relevancia la homogenización de las previsiones relativas a todos los servicios de confianza. Asimismo, la gran novedad reside en la posibilidad de utilizar métodos de identificación alternativos, equiparando las posibilidades en términos de mercado y competencia de los Prestadores de Servicios de Confianza españoles con el resto de Prestadores Europeos.