El Reglamento UE 910/2014 eIDAS – Electronic Identity, Authentication and Signature (identificación electrónica, autenticación y firma electrónica) – tiene la delicada tarea de facilitar y estimular la creación de un marco único técnico-jurídico, consistente e interoperable a nivel europeo, con respecto a los Servicios Electrónicos de Confianza. Servicios, donde la confianza es crucial: firma electrónica, sellos electrónicos, la marcado de tiempo electrónico, documentos electrónicos y servicios de certificación para la autenticación Web.
Estos servicios están supervisados y controlados por los estados miembros, con el fin de garantizar la seguridad y la confianza en el mercado electrónico europeo.
En primer lugar, el Reglamento establece las condiciones bajo las cuales los Estados miembros deben reconocer los medios de identificación electrónica de los individuos en otro Estado miembro.
Aunque se preserva la autonomía de los estados miembros para decidir qué sistemas de identificación electrónicos se utilizan en su territorio para permitir el acceso a los servicios en línea, establece la obligación de garantizar el reconocimiento mutuo de los medios de identificación electrónica adoptados en otro estado, con la condición de que estos sistemas de identificación hayan sido notificados por el país que la impulsa a la Comisión y publicados en una lista especial de «esquemas identificación electrónica notificados» (en virtud del artículo 9), y de que cumplan las condiciones relativas a los niveles de garantía requerida en cada servicio en linea.
De esta manera, una vez llevado a cabo el procedimiento de notificación, en una transacción transfronteriza caerá sobre el estado que notifica la responsabilidad por los daños causados intencionadamente o por negligencia, a cualquier persona o entidad, si se produce un incumplimiento de sus obligaciones (letras d y f del Artículo 7 del Reglamento).
En el capítulo III trata de los servicios de confianza e instituye una plataforma legal común para los servicios de firma electrónica, de sello electrónico, de marcado de tiempo electrónico, de servicios de transmisión electrónicos y de autenticación de sitios Web.
Establece con precisión las condiciones para iniciar un servicio de confianza cualificado y los requisitos que deben cumplir los Prestadores para poder emitir certificados cualificados y para prestar otros servicios de confianza digital e incluso los requisitos de seguridad que deben cumplir los proveedores de estos servicios.
Por último se establece que los Estados miembros deberán establecer un órgano de control con la función de supervisar los proveedores de servicios de confianza cualificados y no cualificados.
Entre otros aspectos interesantes recogidos en el Reglamento eIDAS cabe destacar las previsiones para la emisión y mantenimiento de las listas de confianza y la posibilidad de hacer uso de una marca de confianza de la UE para los servicios de confianza cualificados.
El legislador europeo requiere la creación, en cada Estado miembro, de un lista de confianza en la que se recogen todos los proveedores de servicios de confianza para los que se verifica y garantiza la condición de «cualificado» desde el momento de la solicitud de puesta en marcha de un servicio de confianza cualificado (la condición de cualificado debe mantenerse por el prestador mediante evaluaciones de conformidad bienales y otras actividades de supervisión posteriores).
Una vez incluido en la lista de confianza, un Prestador de Servicios Electrónicos de Confianza podrá usar el sello de confianza de la UE incluyendo un enlace a dicha lista, para presentar de manera sencilla y reconocible los servicios que ofrece.
Así se confirma la voluntad del legislador de la Unión de promoverun alto nivel de transparencia en el mercado, y para tratar de aumentar la confianza en los servicios en línea y su viabilidad en beneficio de todos los usuarios.
El hecho de que el rango legal corresponda a un Reglamento implica que se trata de una medida legislativa con alcance general, obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, sin necesidad de una transposición a su ordenamiento legal.
A pesar de que ya ha entrado en vigor en sus definiciones y algunos aspectos, el Reglamento se aplicará plenamente a partir del 1 de julio de 2016, a fin de dar tiempo para que los estados puedan prepararse para la nueva normativa. Ciertas previsiones requieren de desarrollos legislativos adicionales y otras, como la obligatoriedad de aceptar sistemas de identificación notificados serán de aplicación a partir de 2018.
En España, el sistema Cl@ve es un buen ejemplo de sistema de acreditación de identidad que podría desarrollarse, para cumplir los requisitos de EIDAS con un mayor alineamiento con la norma ISO 29115.
Cl@ve es un sistema orientado a unificar y simplificar el acceso electrónico de los ciudadanos a los servicios públicos. Su objetivo principal es que el ciudadano pueda identificarse ante la Administración pública mediante claves concertadas (usuario y contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios.
Cl@ve complementa los sistemas de acceso mediante DNI-e y certificado electrónico, y ofrece la posibilidad de realizar firma en la nube con certificados personales custodiados en servidores remotos.
Fue formalizada por la Orden PRE/1838/2014, de 8 de octubre, por la que se publica el Acuerdo de Consejo de Ministros, de 19 de septiembre de 2014, por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.
English