eIDAS: nuevos tiempos para la firma electrónica en Europa

Posted by media on 12/09/17 9:00

eIDAS_Regulacion_Signaturit.jpg

El 1 de julio de 2016 entró en vigor el Reglamento (UE) Nº 910/2014, conocido como Reglamento eIDAS, que establece un marco legal común para las firmas electrónicas en la Unión Europea. En este post repasamos las bases del nuevo Reglamento, así como las novedades introducidas respecto a la definición y clasificación de la firma electrónica.

Además, comentamos los aspectos más relevantes que regula el eIDAS. Entre ellos, los efectos jurídicos de las firmas electrónicas, los sellos electrónicos y el servicio de entrega electrónica certificada.

Este post también está disponible en inglés.

 

Los antecedentes de la firma electrónica en la UE: la Directiva 1999/93/CE

La Directiva 1999/93/CE fue la primera norma que regulaba los servicios de firma electrónica en la Unión Europea. Esta norma reconocía la validez de las firmas electrónicas, considerándolas equivalentes a las firmas manuscritas y otorgándoles validez en los tribunales.

El problema fundamental de esta primera directiva era que cada estado de la Unión Europea la interpretaba a su manera. Ello suponía una complicación para el reconocimiento y que la validez de las firmas electrónicas entre países de la UE y en sus respectivos tribunales se complicara.

Esta problemática, de por sí, iba en contra de la propia intención de la firma electrónica a nivel europeo, que lo que pretendía era agilizar procesos, no bloquearlos. Por ejemplo, existía una laguna en el área de identificación de usuarios en los servicios electrónicos, puesto que cada país disponía de su propia forma de reconocerlos. Y cada una de estas formas de reconocimiento de identidades no siempre coincidía con las formas o mecanismos establecidos en otros países de la Unión.

De este modo, igual que ha sucedido con otras normas que regulan algunos aspectos del mundo digital, como la Directiva de privacidad o la de comercio electrónico, la Directiva 1999/93/CE también quedó desfasada. Por eso ha surgido el nuevo Reglamento (UE) Nº 910/2014, que se conoce como eIDAS y que entró en vigor el 1 de julio de 2016 en toda la Unión Europea.  El Reglamento eIDAS regula la identificación electrónica y establece unas pautas para los servicios de confianza relativos a las transacciones electrónicas que son comunes para todos los países de la UE.

¿Cuáles son las bases del Reglamento nº 910/2014 o Reglamento eIDAS?

Como hemos comentado, el nuevo Reglamento Europeo de identificación electrónica y servicios de confianza, conocido como eIDAS, delimita un nuevo marco jurídico para la firma electrónica en la Unión Europea.

Pero no sólo para la firma electrónica, sino también para los siguientes servicios, que también son servicios de confianza, igual que la firma electrónica: establecimiento de sellos y marcas de tiempo, documentos electrónicos y servicios de entrega electrónica registrada o correo electrónico certificado, así como servicios de certificado para autenticación de sitios web.  

Cabe destacar que el nuevo Reglamento – no Directiva, lo que significa que no necesita transposición en los Estados miembros y por lo tanto, se aplica directamente - amplía lo dispuesto por la anterior Directiva de 1999, regulando el establecimiento de una base común para la interacción electrónica segura entre ciudadanos, empresas y autoridades públicas europeos.

La intención de está ampliación es aumentar la eficacia de los servicios públicos y privados online, potenciar el comercio electrónico en el territorio europeo y hacer que los individuos confiemos más en las transacciones electrónicas.

Es decir, en definitiva,  se trata de eliminar la barrera entre países miembros, disponiendo de sistemas de identificación de ciudadanos y validez de sus firmas electrónicas que permitan operar con mayor agilidad, menor coste y ser más eficientes a nivel europeo.

Por ejemplo, se pretende que tanto personas físicas como jurídicas puedan usar su documento de identificación electrónica (eIDs) en otros países de la Unión Europea, para acceder a trámites telemáticos u online de los diferentes gobiernos (e-gov services).

Esto último  también permitiría, entre otras cosas, que la prestación de asistencia sanitaria transfronteriza fuera una realidad para los europeos mediante el uso de dichos mecanismos de identificación electrónica; o que otros trámites administrativos entre empresas, personas y gobiernos de los estados de la Unión Europea pudieran hacerse de una forma más eficiente.

 

Reglamento eIDAS.jpeg

 

¿Qué novedades introduce el reglamento eIDAS respecto a la firma electrónica?

Puesto que el objetivo de la anterior Directiva 1999/93/CE era “facilitar el uso de la firma electrónica y contribuir a su reconocimiento jurídico” (Artículo 1), ya se definieron en esa ley 3 tipos de firmas electrónicas:

  1. La firma electrónica, definida como “los datos en forma electrónica anejos a otros datos electrónicos o asociados de manera lógica a ellos, utilizados como medio de autenticación”. (Este tipo más sencillo de firma electrónica se conoce como firma electrónica simple).

  2. La firma electrónica avanzada,definida como “la firma electrónica que cumple los requisitos siguientes:

    • estar vinculada al firmante de manera única;
    • permitir la identificación del firmante;
    • haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control;
    • estar vinculada a los datos a que se refiere de modo que cualquier cambio ulterior a los mismos sea detectable”.

  3. La firma electrónica avanzada basada en un certificado reconocido. Este último tipo de firma ya se contemplaba en la Directiva 1999/93/CE, a pesar de no estar definida en el texto de esa ley de forma directa. (Ver definiciones de certificado y certificado reconocido en el Artículo 2, así como los anexos I y II para más información).

Esta clasificación de firmas electrónicas y sus efectos jurídicos se han mantenido en el nuevo Reglamento eIDAS.

Lo que ha cambiado es que, lo que en la Directiva se llamaba firma electrónica avanzada basada en un certificado reconocido, en el reglamento eIDAS se llama firma electrónica cualificada, y se define del siguiente modo: “una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica”.

A parte de esto, el principal cambio es que con el nuevo reglamento eIDAS, la firma electrónica cualificada sí será reconocida en todos los estados miembros, independientemente del estado en el que se haya realizado.


>> Post relacionado: Firma electrónica simple, avanzada o cualificada, ¿sabes distinguirlas?



eIDAS - Efectos jurídicos de las firmas electrónicas
Artículo 25
  1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

  2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

  3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

reglamento eIDAS.png

Ventajas de la firma electrónica avanzada

De entre los tres tipos de firmas electrónicas que se contemplan en el eIDAS, la firma electrónica avanzada es la más conveniente para la mayoría de casos de uso que se encuentran las empresas.

Por un lado, el nivel de seguridad que ofrece es prácticamente idéntico al de la firma cualificada, además de que también permite identificar al firmante de forma única. Y por otro, es más fácil de usar, ya que no requiere ningún trámite presencial por parte del firmante, a diferencia de la firma electrónica cualificada.

En concreto, las principales ventajas de la firma electrónica avanzada respecto de la simple y la cualificada son las siguientes:

  • Respecto a la firma electrónica simple: la principal ventaja de la firma electrónica avanzada es la seguridad jurídica, ya que esta última permite identificar al firmante de forma única mientras que la simple no.

     Una firma electrónica simple es, por ejemplo, un checkbox o un código PIN. En estos dos        casos, no hay garantías técnicas que puedan certificar que la persona que hace click en el      check box o introduce el PIN es realmente quien dice que es. 

  • Respecto a la firma electrónica cualificada: ésta se tiene que realizar en un dispositivo cualificado de creación de firmas, tal y como está estipulado en el Anexo II del Reglamento 910/2014.
     Por ello, la principal ventaja de la firma electrónica avanzada respecto a la cualificada, es        que es mucho más fácil de usar, ya que no depende de ningún dispositivo específico para        poder realizarse, ni de una acreditación en persona previa al uso de la firma.
>> Post relacionado: La legalidad de la firma electrónica: ¿es legal en la Unión Europea?

¿Qué necesitas para firmar con tu DNI electrónico?

La firma electrónica que puedes realizar con tu DNI electrónico es una firma electrónica cualificada.

Para utilizarla necesitas tener lo siguiente:

- Un ordenador personal, en el que debes instalar lo que se denomina módulos criptográficos, necesarios para poder leer tu DNI.

  • Si utilizas Windows, debes instalar un servicio llamado "Cryptographic Service Provider" (CSP).
  • Si utilizar MAC, Linux o UNIX, podrás firmar con tu DNI gracias a un módulo criptográfico que se llama PKCS#11.

- Un lector de tarjetas inteligentes, que puede ser interno o externo.

  • El lector de tarjetas inteligentes interno viene integrado con tu teclado.
  • Los lectores de tarjetas inteligentes externos puedes conectarlos con tu ordenador o bien vía USB, o bien a través de una tarjeta PCMCIA.

Reglamento (UE) Nº 910/2014.png

 

8 aspectos destacables regulados por el Reglamento eIDAS

A continuación, detallamos los aspectos que consideramos más relevantes destacar del Reglamento eIDAS:

 

1. Sistemas de reconocimiento mutuo (artículo 6)

Este artículo establece que, cuando para acceder a un servicio online prestado por un organismo del sector público en otro Estado miembro sea necesaria una identificación electrónica, utilizando un medio de identificación electrónica y de autenticación en virtud de la normativa o práctica administrativa nacionales, se reconocerá en ese otro Estado miembro dicho medio de identificación electrónica, siempre y cuando se reúnan una serie de parámetros:


  • que el medio de identificación haya sido expedido por un sistema incluido en la lista publicada por la Comisión y de acuerdo con lo establecido en el artículo 9 del propio Reglamento;
  • que el nivel de seguridad del medio sea igual o superior al requerido por el organismo público para acceder a dicho servicio -  con excepciones, donde también se permitiría dicho reconocimiento en casos con niveles de seguridad inferior;
  • que el organismo en cuestión también disponga de un nivel de seguridad sustancial.

 

2. Cooperación e interoperabilidad (artículo 12)

En este artículo se establece que los sistemas nacionales de identificación electrónica acordes con lo dispuesto en el propio artículo 9 se considerarán interoperables lo que significa que:

  • deberá existir un marco neutro desde un punto de vista tecnológico, que no discrimine entre soluciones técnicas nacionales específicas para la identificación electrónica dentro del Estado miembro;
  • se ajuste a las normas internacionales y europeas, siempre que sea posible;
  • facilite la aplicación del principio de privacidad desde el diseño o Privacy by Design y que garantice que los datos personales se procesen con arreglo a la Directiva 95/46/CE, de protección de datos.

Además, deberán establecerse unos requisitos técnicos mínimos en cuestiones relativas a niveles de seguridad, correlación entre sistemas nacionales y conjunto de datos mínimos para poder identificar a las personas que actúan como persona física o jurídica, entre otros, todo ello para garantizar la interoperabilidad y que aquella se efectúa de manera correcta.

 

3. Cambio en la denominación de los proveedores y requisitos que deberán cumplir

Se efectúa un cambio en la denominación de los prestadores de servicios de certificación a simplemente “prestadores de servicios de confianza”.

De este modo se amplía la terminología, puesto que no sólo existen los servicios de certificación sino que existen otro tipo de servicios  de confianza como el de firma electrónica, el de certificación, el de establecimiento de sello o marca temporal, entre otros.

Además, en el artículo 12, a los prestadores de servicios de confianza, tanto si son cualificados como no, se les exige el cumplimiento de una serie de requisitos:

  • adopción de medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes;
  • notificación en un plazo de 24 horas al organismo de supervisión u otros organismos competentes en materia de seguridad de protección de datos (autoridad de protección de datos – en España, la Agencia Española de Protección de Datos), cualquier violación de la seguridad o pérdida de la integridad de la información que comporte un impacto en el servicio de confianza prestado o afecte a datos personales, entre otras medidas exigidas.

Y en particular, respecto de los servicios de confianza cualificados, se establece que los mismos serán auditados cada 24 meses por un organismo que evalúe su conformidad, y que la propia empresa de servicios de confianza deberá correr con los gastos que ello genere, entre otros requisitos.


>> Post relacionado:  

¿Qué es un prestador de servicios electrónicos de confianza?


4. Firmas electrónicas, efectos jurídicos y requisitos

Se establece en el artículo 25 que no se denegarán en ningún estado de la UE efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

Además, y en cualquier caso:

  • una firma electrónica cualificada tendrá un efecto jurídico equiparable e idéntico al de una firma manuscrita;
  • una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

En los siguientes artículos del Reglamento eIDAS se detalla más específicamente los requisitos a tener en cuenta para las firmas electrónicas avanzadas, las características de las firmas electrónicas para los servicios públicos y los certificados cualificados de firma electrónica, así como los requisitos de los dispositivos cualificados que permiten la creación de firmas electrónicas cualificadas o de validación en sí de las firmas electrónicas cualificadas. 

 

Requisitos para la validez legal de las firmas electrónicas avanzadas 

 Artículo 26

  • Debe estar vinculada al firmante de manera única.
  • Debe permitir la identificación del firmante.
  • La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo (que no pueda controlarse por otros).
  • Debe estar vinculada con los datos firmados de forma que cualquier alteración pueda ser detectada.

 

5. Sellos electrónicos (artículo 35 y siguientes)

El eIDAS describe y regula la existencia tanto de sellos electrónicos estándar como cualificados, así como los requisitos que uno y otro deben cumplir.  

Iguala que en el caso de la firma electrónica, se establece que no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos del sello electrónico cualificado.

El sello electrónico cualificado disfrutará de la presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello electrónico cualificado esté vinculado. También se establece la validez y reconocimiento a los sellos electrónicos cualificados de un estado a otro estado miembro.


>> Post relacionado: La Autoridad de Sellado de Tiempo: un cierre hermético para brindar mayor seguridad a la firma electrónica.

 

6. Servicio de entrega electrónica certificada (artículo 43 y siguientes)

También se admitirán a juicio los efectos jurídicos de los servicios de entrega electrónica certificada.

En el caso de los envíos realizados mediante servicios cualificados de entrega, éstos disfrutarán de la presunción de integridad de los datos, puesto que existirá un remitente identificado, la recepción por el destinatario y la exactitud de la fecha y hora de envío y recepción de los datos que indica el servicio cualificado de entrega electrónica certificada.

Para que los mismos servicios cualificados sean válidos, deberán cumplir con una serie de requisitos:

  • ser prestados por uno o más prestadores cualificados de servicios de confianza;
  • disponer o asegurar el alto nivel de fiabilidad en la identificación del remitente;
  • garantizar la identificación del destinatario antes de la entrega de datos;
  • estar protegidos en el envío por una firma o sello electrónico avanzado;
  • identificar claramente al emisor y destinatario;
  • plasmar en el sello cualificado de tiempo, la fecha y hora de envío, recepción y eventual modificación de los datos.

7. Servicio de autenticación de sitios web  (artículo 45 y Anexo IV)

El artículo 45 se remite directamente a lo establecido en el Anexo IV de este Reglamento, donde se establecen los requisitos que deben reunir los certificados cualificados de autenticación de sitios web, entre los cuales, se encuentran, entre otros:

  • que se indique en un formato adecuado que el certificado ha sido expedido como certificado cualificado de autenticación de sitio web;
  • que se indique un conjunto de datos que identifique inequívocamente al prestador, incluyendo los datos de la persona jurídica que hay detrás, con los datos de registro oficiales, en su caso; y el nombre de la persona, cuando se trate de una persona física;
  • elementos de la dirección (mínimo, ciudad y Estado) de la persona física o jurídica a quien se expida el certificado;
  • datos relativos al inicio y final del período de validez del certificado;
  • código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;
  • lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado;
  • localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado, entre otros.

8. Etiqueta de confianza de la UE (artículo 23)

La voluntad del legislador de permitir este tipo de servicios y transacciones de confianza entre miembros de la Unión Europea es tal que incluso en el artículo 23 se habla de una etiqueta de confianza de la UE para servicios de confianza cualificados.,

A esta etiqueta de confianza de la UE podrán acceder los prestadores cualificados incluidos en la lista del artículo 22 (Listas de confianza) y que se publicó  cumpliendo con lo dispuesto en el artículo 23.1, a partir del 1 de julio de 2016.

En definitiva, lo que hace este nuevo Reglamento eIDAS es ir un paso más allá, no sólo regulando las características y requisitos que debe reunir la firma electrónica sino regulando nuevos conceptos o servicios como el sello de tiempo, la entrega registrada, la validación o autenticación de sitios web, etc..

Además, el eIDAS establece unas pautas para que el uso de este tipo de mecanismos permita agilizar algunas transacciones entre los países de la Unión Europea, garantizando de este modo la existencia del Mercado Único Digital.

Este post también está disponible en inglés.


Signaturit-whitepaper-legalidad-firma-electronica-UE


Este post ha sido redactado por el equipo de expertos en legislación sobre protección de datos de 

Avatic Abogados.


@AvaticAbogados

Tags: Legalidad

Subscríbete al blog

Últimos posts