Novedades en el Proyecto de Ley de servicios electrónicos de confianza

La futura Ley reguladora de determinados aspectos de los servicios electrónicos de confianza, ahora en fase de enmienda en las Cortes, abre la posibilidad de la identificación no presencial para la emisión de certificados cualificados y elimina la figura del Tercero de Confianza, pasando a ocupar su lugar los Prestadores de Servicios de Confianza

Las Cortes Generales han publicado en su Boletín Oficial del pasado 28 de febrero, el Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza, que propone la adaptación de la normativa nacional en materia de identificación y firma al Reglamento UE 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior– Reglamento eIDAS-. Esta nueva norma, en fase de aprobación, desarrolla aspectos que complementan al Reglamento eIDAS y deroga la ley de firma electrónica de 2003, adaptando su contenido a la nueva realidad.

Identificación inicial

La verificación de la identidad inicial es la clave para poder otorgar una identidad digital fiable a una persona física. En este sentido, un Prestador de Servicios de Confianza puede certificar que una persona es quien dice ser, si previamente ha comprobado dicha identidad de forma adecuada y siguiendo las condiciones mínimas de identificación, en función de los niveles de seguridad, reconocidos en el artículo 8 EIDAS.

Hasta ahora, la legislación española únicamente permitía la identificación inicial mediante personación física de la persona ante las conocidas como autoridades de registro, lo que hacía en muchas ocasiones que el proceso de obtención de los certificados no fuera los suficientemente ágil. Dados los avances tecnológicos, así como regulatorios en otros ámbitos normativos en los que la identificación también juega un papel muy importante, no se puede negar que existen medios alternativos que otorgan la misma, o mayor incluso, fiabilidad y seguridad en los procesos de identificación de las personas físicas a la hora de emitir los certificados electrónicos.

Si bien es cierto que hasta la fecha, se venía aceptando la identificación para la emisión de un certificado cualificado, mediante otro certificado cualificado, siempre que no hubiera transcurrido 5 años desde la primera identificación presencial, el proyecto de Ley abre la posibilidad, como ya ha ocurrido en otros países como Italia, Alemania o Francia, de realizar el proceso de identificación de los usuarios mediante sistemas de video identificación seguros que garantiza la correcta identificación de los usuarios.

En este sentido, y como no podía ser de otra forma, debe tenerse en cuenta que el sistema de vídeo identificación no está expresamente regulado en el proyecto de ley, sino que, posteriormente deberá publicarse una Orden Ministerial del Ministerio de Asuntos Económicos y Transformación Digital en la que se permitirá la utilización de este medio, y donde se establecerán los requisitos técnicos aplicables que deberán cumplir los fabricantes de dicha tecnología.

Adicionalmente, debe tenerse en cuenta que para poder realizar el proceso de vídeo identificación será necesario la creación de una Autoridad de Registro, que asistirá al Prestador de Servicios de Confianza en el procedimiento de verificación de la identidad inicial, registro y autenticación de los suscriptores de los certificados cualificados.

En este sentido, se deberá realizar el proceso de tal forma que la identificación digital de la persona tiene una garantía equivalente en términos de fiabilidad a la presencia física. Por lo tanto, la aplicación de vídeo identificación deberá comprobar:

Que la persona existe y es real.
Que el documento de identidad presentado pertenece a esa persona.
La validez legal del documento presentado.
Prueba de que la persona presente es la misma que la especificada anteriormente.

Por último, debe tenerse en cuenta que es de esperar que dicha Autoridad de Registro sea auditada por un organismo de la evaluación de la conformidad para certificar a los prestadores cualificados de servicios de confianza, el adecuado cumplimiento de los requisitos de estas autoridades de registro.

Aunque el proyecto de ley haga referencia a la verificación inicial de la identidad únicamente para la emisión de certificados cualificados, es lógico pensar que los medios de identificación inicial que se aprueben mediante la Orden Ministerial se extiendan también a otros servicios de confianza cualificados, como el Servicio Cualificado de Entrega Electrónica Certificada, que requiere la verificación fehaciente de la identidad inicial tanto del emisor como del destinatario de una comunicación.

En este caso, al igual que para la emisión de certificados cualificados, el Prestador del servicio deberá verificar la identidad del emisor y del destinatario por uno de los siguientes métodos:

Mediante presencia física.
Remotamente, utilizando medios de identificación electrónica, para los que se haya garantizado la presencia física de la persona.
Por medio de un certificado digital cualificado.
Mediante la utilización de otros métodos de identificación reconocidos a nivel nacional que ofrecen una garantía equivalente en términos de fiabilidad a la presencia física. La equivalencia del nivel de fiabilidad será confirmada por un organismo de evaluación de la conformidad.

Por ello, se entiende que, una vez aprobada y publicada la Orden Ministerial, los Prestadores cualificados que presten el servicio de entrega electrónica certificada podrán incluir en sus procedimientos un Verificador de Identidad mediante Video Identificación, que será debidamente auditado.

Eliminación de la figura de Tercero de Confianza

La figura del Tercero de Confianza fue recogida por la Ley de Servicios de la Sociedad de la Información del año 2002, con la idea de que un tercero ajeno a un contrato archive una copia electrónica de las comunicaciones que integran los contratos electrónicos entre las partes, consignando la fecha y hora en que las comunicaciones han tenido lugar. De esta forma, un tercero imparcial y de confianza entre las partes (pues le asignan la función de custodio de sus contratos, y por lo tanto, confían en él) que archiva los declaraciones de voluntad de un contrato producido entre ellas.

Esta figura de Tercero de Confianza, como tal, no se encuentra expresamente reconocida como un servicio de confianza en el Reglamento eIDAS como ya adelantábamos. Por el contrario, el Reglamento eIDAS proporciona un marco jurídico al servicio de confianza de entrega electrónica certificada, dotándole de reconocimiento en toda la Unión Europea, definiéndolo cono “un servicio que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizada” Evidentemente, en este caso interviene un tercero, que es el prestador del servicio, que recoge, archiva, protege y aporta las pruebas correspondientes de la comunicación electrónica entre las partes.

Por lo tanto, y a pesar de que no se prohíbe su regulación en clave nacional por parte del eIDAS, no parece que tenga sentido mantener una figura que, por un lado, no tendría reconocimiento a nivel europeo, mas allá del pacto expreso entre las partes que lo utilicen, y por otro, no tiene facultad alguna atribuida por Ley y resultan autoproclamados como tales.

No obstante, hasta que la publicación de la futura Ley de servicios de confianza, la figura de Tercero de Confianza convive con la figura del Prestador de Servicios de Confianza de entrega electrónica certificada.

A partir de dicha publicación, todos aquellos prestadores de servicios que se auto-consideran en la actualidad Terceros de Confianza del artículo 25 de la LSSI y quieran seguir prestando servicios como tales, deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital, en el plazo de 3 meses desde la publicación de la Ley, cumplir una serie de requisitos organizativos y ofrecer garantías de seguridad del servicio, para que sean incluidos en la lista de Prestadores de Servicios Electrónicos de Confianza.

Dicha comunicación se realiza a través de la Sede electrónica del Ministerio citado, cumplimentando un formulario establecido para ello y aportando la documentación solicitada, como es la Declaración de Prácticas de los servicios electrónicos de confianza, y que deberán publicar todos los Prestadores de Servicios de Confianza en la web donde se ofrece el servicio.