Legislación y proyectos normativos - España

Servicios electrónicos de confianza

Ley 6/2020

El pasado 12 de noviembre se publicó la Ley 6/2020 de servicios electrónicos de confianza para adaptar el ordenamiento jurídico español a la normativa europea[1] sobre identificación electrónica y servicios de confianza.

Esta Ley no contiene una regulación sistemática de los servicios electrónicos de confianza, tan solo complementa la citada normativa europea para evitar la existencia de vacíos normativos y las consiguientes situaciones de inseguridad jurídica.

La norma es de aplicación a los prestadores públicos y privados de servicios electrónicos de confianza establecidos en España, así como a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España[2] y los principales aspectos que regula son:

Efectos jurídicos de los documentos electrónicos

La Ley atribuye a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado, una ventaja probatoria. Los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, según la legislación que les resulte aplicable, y será la Ley de Enjuiciamiento Civil, la que regule la prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado. De esta manera, se simplifica la prueba: la mera constatación de la inclusión del citado servicio en la lista de confianza de prestadores cualificados de servicios electrónicos será suficiente.

Certificados electrónicos

La norma mantiene en cinco años la vigencia máxima de los certificados electrónicos, considerando las características y tecnología empleada para generar los datos de creación de firma, sello, o autenticación de sitio web. Asimismo se detallan aquellos supuestos en los que prestadores de servicios electrónicos de confianza extinguirán o suspenderán la vigencia de los certificados electrónicos: en los casos de suspensión, la vigencia del certificado se extinguirá si transcurrido el plazo de duración de la suspensión, el prestador no la hubiera levantado.

Inicio de la prestación de servicios

Los prestadores de servicios electrónicos de confianza no cualificados no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero sí deberán comunicar su actividad en el plazo de tres meses desde que la inicien a la autoridad competente, esto es; al Ministerio de Asuntos Económicos y Transformación Digital. Por su parte, para los servicios cualificados, se prevé un sistema de verificación previa de cumplimiento de los requisitos: para formar parte de la lista de confianza que permite el inicio de la actividad, deberá existir un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado.

Obligaciones y responsabilidad de los prestadores de servicios electrónicos de confianza

Los prestadores de servicios electrónicos de confianza deberán cumplir las obligaciones establecidas en la Ley. A estos efectos, deberán publicar información veraz, tomar las medidas necesarias para resolver los incidentes de seguridad que les afecten y se abstendrán de almacenar o copiar los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios.

Adicionalmente, se contemplan otros requerimientos específicos para los prestadores cualificados de servicios electrónicos de confianza. Entre ellos:

  • Conservar la información relativa a los servicios prestados durante 15 años desde la extinción del certificado o la finalización del servicio prestado
  • Constituir un seguro de responsabilidad civil por importe mínimo de 1.500.000 euros, garantía que podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución y
  • Presentar el informe de evaluación ante la autoridad competente con el fin de garantizar que sus métodos presentan un nivel de seguridad equivalente y cumple con las obligaciones legales.

La Ley regula también la responsabilidad de los prestadores de servicios electrónicos de confianza, quienes asumirán, salvo en los casos exceptuados, toda la responsabilidad frente a terceros por la actuación de las personas en los que deleguen la ejecución de alguna de las funciones necesarias para la prestación de servicios electrónicos de confianza.

Otras cuestiones:

La norma incluye un régimen sancionador y atribuye al Ministerio de Asuntos Económicos y Transformación Digital el control del cumplimiento por los prestadores de servicios electrónicos de confianza de las obligaciones que se les imponen, así como las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control.

Por último, destacar, los cambios que esta norma ha introducido a la legislación hasta entonces existente al respecto: deroga la ley 59/2003 de firma electrónica e introduce modificaciones a la Ley 56/2007 de Medidas de Impulso de la Sociedad de la Información y a la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico.

 

[1] Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/C

[2] Siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.