Prestadores de serveis electrònics de confiança
Prestadors qualificats de serveis electrònics de confiança
El Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (eIDAS), preveu les següents categories de servidors qualificats:
- Servei d'expedició de certificats electrònics qualificats de signatura electrònica
- Servei d'expedició de certificats electrònics qualificats de segell electrònic
- Servei d'expedició de certificats electrònics qualificats d'autenticació de llocs web
- Servei d'expedició de segells electrònics qualificats de temps
- Servei qualificat de lliurament electrònic certificat
- Servei qualificat de validació de signatures electròniques qualificades
- Servei qualificat de validació de segells electrònics qualificats
- Servei qualificat de conservació de signatures electròniques qualificades
- Servei qualificat de conservació de segells electrònics qualificats
De conformitat amb l'article 17 del Reglament eIDAS, l'organisme de supervisió supervisa als prestadors qualificats mitjançant activitats de supervisió prèvies i posteriors.
El 20 de maig de 2024 va entrar en vigor el Reglament (UE) 2024/1183 del Parlament Europeu i del Consell, d'11 d'abril de 2024, pel qual es modifica el Reglament (UE) N° 910/2014 pel que fa a l'establiment del marc europeu d'identitat digital, a fi de millorar la seva eficàcia, estendre els seus beneficis al sector privat i promoure unes identitats digitals de confiança per a tots els europeus. Por otro lado, es defineixen nous serveis de confiança i es preveuen una sèrie d'actes d'implementació quant a requisits tècnics i de supervisió dels serveis de confiança.
Lista de confiança de prestadors qualificats de serveis electrònics de confiança (TSL)
La Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança (LSC) estableix en el seu article 16.1 que el Ministeri per a la Transformació Digital i de la Funció Pública establirà, mantindrà i publicarà la llista de confiança amb informació relativa als prestadors qualificats de serveis de confiança subjectes a aquesta Llei, juntament amb la informació relacionada amb els serveis de confiança qualificats prestats per ells, segons el que es preveu en l'article 22 del Reglament (UE) 910/2014.
La Decisió d'Execució (UE) 2015/1505 de la Comissió de 8 de setembre de 2015 per la qual s'estableixen les especificacions tècniques i els formats relacionats amb les llistes de confiança de conformitat amb l'article 22, apartat 5, del Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior requereix, d'acord amb el que es preveu en l'article 22, apartat 1, del citat Reglament, que cada Estat membre ha d'establir, mantenir i publicar llistes de confiança amb informació relativa als prestadors qualificats de serveis electrònics de confiança juntament amb la informació relacionada amb els serveis electrònics de confiança qualificats prestats per ells.
De conformitat amb l'anteriorment exposat, el Ministeri per a la Transformació Digital i de la Funció Pública ha elaborat una Lista de confiança de prestadors de serveis electrònics de confiança (TSL) corresponent als prestadors que proporcionen serveis electrònics de confiança qualificats i que estan establerts i supervisats a Espanya. La TSL està accessible en el següent enllaç:
- Lista de confiança de prestadors qualificats de serveis electrònics de confiança (TSL)
- Guía d'interpretació de la TSL
- Suscribirse als canvis en la llista de confiança de prestadors qualificats de serveis electrònics de confiança
La Comissió Europea proporciona en el següent enllaci una eina per a explorar les Llistes de Serveis de Confiança (TSL) pertanyents als diferents Estats membres i la llista de llistes de confiança, “List of Trusted Lists” (LoTL):
- Eina de la Comissió per a explorar les TSL dels EEMM
- Enlace a la TSL espanyola en l'eina de la Comissió
- Versión procesable en XML de la LoTL de la Comissió
De forma complementària, la LSC estableix en el seu article 17.2 que la informació referent als prestadors qualificats de serveis de confiança podrà ser objecte de publicació en l'adreça d'internet del Ministeri per a la Transformació Digital i de la Funció Pública per a la seva difusió i coneixement.
- Servei de difusió d'informació de prestadors qualificats previst en l'article 17.2 de la LSC
Prestadors no qualificats de serveis electrònics de confiança
Els prestadors de serveis electrònics de confiança no qualificats segons l'article 3(16) del Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014 relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (Reglament eIDAS), no estan subjectes a activitats de supervisió prèvies.
El organisme de supervisió pot, de conformitat amb l'article 17 del Reglament eIDAS, adoptar mesures mitjançant activitats de supervisió posteriors, quan rebi la informació que aquests prestadors no qualificats de serveis de confiança, o els serveis de confiança prestats per ells, suposadament no compleixen els requisits establerts en el Reglament.
Notificació d'incidents de seguretat
El article 19.2 del Reglament eIDAS imposa a tots els prestadors de serveis de confiança, qualificats i no qualificats, l'obligació de notificar a l'organisme de supervisió qualsevol violació de la seguretat o pèrdua de la integritat que tingui un impacte significatiu en el servei de confiança prestat o en les dades personals corresponents.
En aquest sentit, l'article 13 de la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança estableix que els prestadors qualificats i no qualificats de serveis electrònics de confiança notificaran al Ministeri d'Assumptes Econòmics i Transformació Digital les violacions de seguretat o pèrdues de la integritat assenyalades en l'article 19.2 del Reglament (UE) 910/2014, sense perjudici de la seva notificació a l'Agència Espanyola de Protecció de Dades, a altres organismes rellevants o a les persones afectades.
Així mateix, assenyala que els prestadors de serveis ampliaran, en un termini màxim d'un mes després de la notificació de l'incident i, d'haver tingut lloc, després de la seva resolució, la informació subministrada en la notificació inicial conformement a les directrius i formularis que pugui establir el Ministeri d'Assumptes Econòmics i Transformació Digital.
Puede obtenir-se informació més detallada sobre aquest tema en la següent nota:
Notificació d'incidents de seguretat de prestadors de serveis de confiança
Prestadors que han cessat la seva activitat
La Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança estableix en el seu article 9.3.c) que el prestador qualificat que vagi a cessar en la seva activitat haurà de comunicar-lo als clients als quals presti els seus serveis i a l'òrgan de supervisió amb una antelació mínima de dos mesos al cessament efectiu de l'activitat, per un mitjà que acrediti el lliurament i recepció efectiva sempre que sigui factible. El pla de cessament del prestador de serveis pot incloure la transferència de clients, una vegada acreditada l'absència d'oposició d'aquests, a un altre prestador qualificat, el qual podrà conservar la informació relativa als serveis prestats fins llavors. Igualment, comunicarà a l'òrgan de supervisió qualsevol altra circumstància rellevant que pugui impedir la continuació de la seva activitat. Especialment, haurà de comunicar, quan tingui coneixement d'això, l'obertura de qualsevol procés concursal que se segueixi contra ell.
Així mateix, l'article 9.3.a) estableix que el període de temps durant el qual hauran de conservar la informació relativa als serveis prestats d'acord amb l'article 24.2.h) del Reglament (UE) 910/2014, serà de 15 anys des de l'extinció del certificat o la finalització del servei prestat.
D'altra banda i en relació amb la prestació de serveis qualificats de confiança, el Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014 relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE obliga als prestadors qualificats de serveis de confiança a informar de l'organisme de supervisió de la seva intenció de cessar la prestació dels seus serveis (art. 24.2.a), així com a comptar amb un pla de cessament actualitzat per a garantir la continuïtat del servei (art. 24.2.i).
A més, conforme a l'indicat (art. 17.4.i) en el citat Reglament aquest Ministeri (en exercici de les seves funcions com a organisme de supervisió) verifica l'existència i la correcta aplicació de les disposicions relatives als plans de cessament en cas que els prestadors de serveis de confiança cessin les seves activitats.