El Anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza
Publicado el 23rd noviembre 2018
Aunque el Reglamento eIDAS devino directamente aplicable el día 1 de julio de 2016, es necesario que los Estados miembros regulen determinados aspectos para que el marco jurídico en la materia esté completo. España está tramitando la ley que regulará todos esos aspectos y rectificará las incompatibilidades existentes entre la actual Ley de Firma Electrónica y el Reglamento eIDAS.
En lo relativo a firmas electrónicas, cabe decir que España fue uno de los primeros países europeos en reconocer como válido un documento que estuviera firmado electrónicamente. El Real Decreto 14/1999, de 17 de septiembre, sobre firma electrónica fue aprobado con anterioridad a la primera Directiva europea sobre la materia (Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica), que fue la primera norma europea sobre firma electrónica. Con el Real Decreto se pretendió fomentar una rápida incorporación de las nuevas tecnologías de seguridad en las comunicaciones electrónicas a la actividad empresarial, la vida diaria de la ciudadanía y la relación con las administraciones públicas. El texto se modificó posteriormente con la redacción de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica para contemplar y respetar los preceptos legales establecidos en la Directiva, así como reforzar el marco legal existente. Sin embargo, la misma fue derogada por la aplicación del Reglamento UE 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior ("Reglamento eIDAS", de ahora en adelante), en aquello que fuere incompatible con este. En cualquier caso, el Reglamento deja algunas cuestiones para que se regulen a nivel nacional para complementar el mismo. Estas serían las finalidades principales del Anteproyecto, el cual introduce los siguientes aspectos respecto al Reglamento eIDAS:
- Un régimen de previsión de riesgo para los proveedores de servicios de confianza cualificados.
- Ciertos requisitos adicionales a nivel nacional para obtener certificados cualificados.
- Un régimen sancionador.
- La comprobación de la identidad y atributos de los solicitantes de un certificado cualificado.
- Condiciones para la suspensión de certificados.
En primer lugar, el Anteproyecto establece un régimen de previsión de riesgo para los proveedores de servicios de confianza cualificados por el que deberán cumplir determinadas obligaciones y por el que se prevé la responsabilidad de los mismos por los daños que causen los servicios que presten. Sin embargo, también se prevén ciertos supuestos en los que la responsabilidad de los proveedores de servicios de confianza se vería limitada (por ejemplo, cuando la información que aporte un cliente no sea exacta). El Anteproyecto contempla las obligaciones contenidas en el Reglamento UE 910/2014, así como algunas obligaciones adicionales tales como las siguientes: el deber de conservar durante 15 años toda la información relativa a los servicios prestados; la obligación de mantener un seguro de responsabilidad civil por un importe mínimo de 1.500.000 euros, así como 500.000 euros adicionales por cada servicio prestado que esté contemplado en el Reglamento eIDAS. Así mismo, los prestadores de servicios de confianza deberán comunicar a sus clientes con dos meses de antelación (así como al órgano de supervisión) el cese de sus actividades o la concurrencia de cualquier circunstancia que pudiera obstaculizar las mismas.
Adicionalmente, el Anteproyecto establece determinadas obligaciones para los prestadores de servicios de confianza en lo relativo a la protección de datos, haciendo referencia expresa a las normas contempladas en el Reglamento General de Protección de Datos. El Anteproyecto de Ley de servicios electrónicos de confianza también establece la obligación para los prestadores de este tipo de servicios de publicar una declaración de prácticas, sobre todo para que los clientes puedan estar informados sobre los servicios que van a contratar.
La infracción de cualesquiera de las obligaciones que se mencionan anteriormente, así como cualquier otra establecida en el Reglamento eIDAS, puede suponer la imposición de sanciones contempladas en el régimen sancionador del Anteproyecto. Dicho texto legal categoriza los tipos de infracciones entre muy graves, graves y leves y sus respectivas sanciones en función de la gravedad, pudiendo llegar hasta los 300.000 euros.
En cuanto a los consumidores de servicios de confianza, se contemplan supuestos en los que se podría revocar un certificado cualificado (como por ejemplo cuando medie una solicitud del cliente en tal sentido o cuando así lo establezca una resolución judicial), así como supuestos en los que es posible suspender la vigencia del certificado. Así mismo, se prevé cómo debe verificarse la identidad de los solicitantes de un certificado cualificado; los cuales normalmente precisarán personarse (requiriéndose la intervención de un representante si se tratase de personas jurídicas), salvo en los casos en que la firma haya estado legitimada por un notario. A su vez, el Anteproyecto prevé la aprobación de una Orden Ministerial que regule las condiciones técnicas que permitirían una identificación telemática de las personas físicas (una vez que la tecnología necesaria para ello se haya desarrollado).
Para continuar, el Anteproyecto de Ley de los servicios electrónicos de confianza contiene ciertos preceptos que dan especial énfasis al valor probatorio de los servicios para garantizar que sea el que se establece en la Ley de Enjuiciamiento Civil. En este sentido se establece que, si una parte cuestiona la validez de un servicio electrónico de confianza cualificado y solicita un informe pericial ad hoc, esta parte deberá asumir los costes de dicha prueba pericial. No obstante, nos parece relevante el artículo por el que se establece que "(l)a retirada de la cualificación de un prestador o del servicio carece de efectos retroactivos, pero los servicios que se hubieran contratado o los certificados que se hubieran emitido como cualificados antes de la pérdida de la cualificación no podrán emplearse como cualificados a partir de entonces, salvo que se recupere la cualificación". Considerando lo anterior, desconocemos cómo los clientes afectados pueden llegar a conocer esta circunstancia o, más importante, cómo un prestador de servicio deberá lidiar con los potenciales quebrantamientos de seguridad relativos a los servicios prestados durante el período que dispuso de la cualificación. Como consecuencia, se debe tener en cuenta que esto puede suponer algunos problemas de seguridad jurídica, ya que los servicios de confianza utilizados pueden ser vulnerables a brechas de seguridad si un prestador de servicios pierde su cualificación.
De modo adicional, el Anteproyecto expresamente deroga a la Ley de Firma Electrónica y propone algunos preceptos por los que se rectificarían las incompatibilidades que se contemplaban en la Ley de Firma Electrónica en relación con el reglamento eIDAS. En particular, el Anteproyecto establece que tan sólo podrán firmar electrónicamente las personas físicas, reservando el uso de los sellos electrónicos (que no se encontraban recogidos en la Ley anterior) para las personas jurídicas. Anteriormente y de conformidad con lo dispuesto en la Ley de Firma Electrónica, la persona jurídica que pretendiera firmar electrónicamente un documento debía designar a un representante para que pudiera obtener un certificado específico atribuido a su persona, a fin de que pudiere firmar en nombre de la entidad como representante de ésta. Este proceso se simplifica con el uso de los sellos electrónicos contemplados en el Reglamento eIDAS y en el Anteproyecto. Así mismo, el texto del Anteproyecto no contempla la publicación de información relativa a los prestadores de servicios de confianza no cualificados, ya que su actividad no está sujeta a una verificación previa por el órgano de control.
A modo de conclusión, la aprobación del Anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza se hace necesaria para acabar de consolidar el nuevo marco legal sobre firmas y sellos electrónicos planteado por el Reglamento 910/2014. Sin embargo, debemos recordar que se trata de un Anteproyecto en estado de tramitación y su redacción podría variar hasta la aprobación de su versión final.