Nueva ley sobre los servicios electrónicos de confianza
Sandra Gamella Carballo
Directora de Sepín Nuevas Tecnologías
El pasado 12 de noviembre el Boletín Oficial del Estado publicó la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, cuyo principal objetivo es complementar el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS).
La nueva Ley -que deroga la Ley 59/2003, de firma electrónica-contiene veinte artículos, cuatro disposiciones adicionales, dos transitorias, una disposición derogatoria y siete disposiciones finales.
El Reglamento (UE) 910/2014, introduce la aceptación mutua para el acceso a los servicios públicos en línea, los sistemas nacionales de identificación electrónica, con el objeto de facilitar una interacción telemática más segura con las Administraciones públicas. También se pretende la armonización de los servicios electrónicos cualificados de confianza, adicionales a la firma electrónica, como puede ser el sello electrónico de las personas jurídicas, el servicio de validación de firmas y sellos cualificados, el servicio de conservación de firmas y sellos, la entrega electrónica certificada, y el servicio de expedición de certificados de autenticación web. Con todo ello se refuerza la seguridad jurídica de las transacciones electrónicas entre particulares, empresas y Administraciones públicas, contribuyendo al desarrollo del mercado único digital.
¡eBook gratis! Incidencias de nuevas tecnologías en la justicia
Una de las características del Reglamento (UE) 910/2014 es la garantía de la equivalencia jurídica entre la firma electrónica cualificada y la manuscrita, pero con la posibilidad de que los Estados miembros puedan determinar los efectos de otras firmas digitales y de los servicios electrónicas de confianza. Resulta importante la reforma acerca de los documentos electrónicos, en los que habiendo utilizado un servicio de confianza cualificado, se establece una presunción iuris tantum en cuanto a la validez de los mismos, recayendo la carga de la prueba contra quien presente impugnación.
En cuanto a los certificados electrónicos, se introducen en la Ley disposiciones relativas a la expedición y contenido de los certificados cualificados, cuyo tiempo máximo de vigencia se mantiene en cinco años, no permitiéndose la renovación en cadena del mismo. La nueva normativa, conforme a lo dispuesto por el Reglamento eIDAS, indica que únicamente las personas físicas están capacitadas para firmar electrónicamente, por lo que no se prevé la emisión de certificados a personas jurídicas o entidades, teniendo reservado para las mismas el sello electrónico, que permite garantizar la autenticidad de documentos como las facturas electrónicas y autenticación de sitio web. Para su actuación en el tráfico jurídico se prevé la emisión de certificados de firmas de aquellas personas físicas que legalmente les representen, en estos casos, se incluirá la identidad de la persona física o jurídica representada, así como una indicación del documento público que acredite, de forma fehaciente, las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria su inscripción, de los datos registrales.
La nueva ley deroga el art 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, cuyo contenido afecta a los terceros de confianza, debido a que el Reglamento (UE) 910/2014, ya contempla dicha regulación, fundamentalmente en los servicios de entrega electrónica certificada y de conservación de firmas y sellos electrónicos.
Por último indicar que los prestadores de servicios de confianza, cualificados y no cualificados, deberán adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios que prestan, y notificar cualquier tipo de incidente de seguridad o pérdida de integridad, al igual que el cumplimiento de la normativa de protección de datos.