Preguntas frecuentes

El Reglamento (UE) Nº 910/2014 do Parlamento Europeo e do Consello, do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza nas transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE (eIDAS) establece as condicións en que os Estados membros deberán recoñecer os medios de identificación electrónica das persoas físicas e xurídicas pertencentes a un sistema de identificación electrónica notificado doutro Estado membro, así como as normas para os servizos de confianza e un marco xurídico para as firmas electrónicas, os selos electrónicos, os selos de tempo electrónicos, os documentos electrónicos, os servizos de entrega electrónica certificada e os servizos de certificados para a autenticación de sitios web.

El 20 de maio de 2024 entrou en vigor o Regulamento (UE) 2024/1183 do Parlamento Europeo e do Consello, do 11 de abril de 2024, polo que se modifica o Regulamento (UE) n.° 910/2014 no que respecta ao establecemento do marco europeo de identidade dixital, co obxecto de mellorar a súa eficacia, estender os seus beneficios ao sector privado e promover unhas identidades dixitais de confianza para todos os europeos. Doutra banda, defínense novos servizos de confianza e prevense unha serie de actos de implementación en canto a requisitos técnicos e de supervisión dos servizos de confianza.

Un servizo electrónico prestado habitualmente a cambio dunha remuneración e que consiste en:

  1. a creación, verificación e validación de firmas electrónicas, selos electrónicos ou selos de tempo electrónicos, servizos de entrega electrónica certificada e certificados relativos a estes servizos.
  2. a creación, verificación e validación de certificados para a autenticación de sitios web.
  3. a preservación de firmas, selos ou certificados electrónicos relativos a estes servizos.

Un servizo de confianza que cumpre os requisitos aplicables establecidos no Regulamento (UE) 910/2014.

Si un fornecedor de servizos de confianza ten a intención de iniciar a prestación de servizos de confianza cualificados, debe presentar ao organismo de supervisión unha notificación da súa intención xunto con un informe de avaliación da conformidade expedido por un organismo de avaliación da conformidade.

Una vez que o fornecedor de servizos de confianza achegase toda a información requirida para iniciar a súa actividade, incluíndo o informe de avaliación da conformidade emitido por un organismo de avaliación da conformidade debidamente acreditado, o organismo de supervisión verificará se o fornecedor e os servizos de confianza que presta cumpren os requisitos establecidos no Regulamento (UE) 910/2014 e, se conclúe que o fornecedor e os servizos de confianza que presta cumpren os citados requisitos, concederá a cualificación e actualizará a lista de confianza.

Notificación de servizos electrónicos de confianza cualificados

Un fornecedor de servizos de certificación que emita certificados recoñecidos conforme a Directiva 1999/93/CE debe presentar un informe de avaliación de conformidade ao organismo supervisor canto antes, pero non máis tarde do 1 de xullo de 2017. Ata que o fornecedor de servizos de certificación presente este informe de avaliación de conformidade e o organismo supervisor ultime a súa análise, o mencionado fornecedor de servizos de certificación será considerado como fornecedor cualificado de servizos de confianza.

La etiqueta de confianza «UE» para servizos electrónicos de confianza cualificados distingue claramente os servizos de confianza cualificados dos demais servizos de confianza, contribuíndo así á transparencia no mercado e fomentando, polo tanto, a confianza nos servizos en liña e a conveniencia destes. As características e condicións de uso da etiqueta atópanse definidos no Regulamento de Execución (UE) 2015/806 da Comisión do 22 de maio de 2015 polo que se establecen especificacións relativas á forma da etiqueta de confianza «UE» para servizos de confianza cualificados.

Os fornecedores cualificados dos servizos electrónicos de confianza poderán usar a etiqueta de confianza «UE» a partir do 1 de xullo de 2016, unha vez que a cualificación dos servizos incluíuse na lista de confianza.

Un dispositivo de creación de firmas electrónicas que cumpre os requisitos enumerados no anexo II do Regulamento (UE) 910/2014. Así mesmo, un dispositivo cualificado de creación de selo electrónico é aquel que cumpre, mutatis mutandis, os requisitos indicados no anexo II do Regulamento (UE) 910/2014.

De acuerdo con o artigo 30 do Regulamento (UE) 910/2014, a certificación é unha condición sine qua non para a consideración dun dispositivo de creación de firma ou selo electrónico como cualificado. La citada certificación obrigatoria, que testemuñará o cumprimento dos requisitos establecidos no anexo II do citado Regulamento, poderá ser unicamente levada a cabo polos organismos europeos designados para o efecto de acordo con o seu artigo 30.2, en concreto en España, o Centro Criptolóxico Nacional.

Puede atopar información actualizada sobre a lista de organismos europeos de certificación e a lista de dispositivos cualificados de creación de firma e selo na páxina da Comisión Europea.

Cada Estado membro ten a obriga de designar un organismo de supervisión responsable das funcións de supervisar aos fornecedores cualificados de servizos de confianza establecidos no territorio do Estado e de adoptar as medidas, en caso necesario, en relación cos fornecedores non cualificados de servizos de confianza establecidos no territorio do Estado membro.

En España, o organismo de supervisión é a Secretaría de Estado de Dixitalización e Intelixencia Artificial, do Ministerio de Asuntos Económicos e Transformación Dixital.

El Reglamento (UE) 910/2014 entrou en vigor o 17 de setembro de 2014, pero non será de aplicación na súa totalidade ata o 1 de xullo de 2016.

Non obstante o anterior, o Regulamento (artigo 52) prevé que determinadas disposicións incluídas no mesmo sexan aplicables en datas diferentes en función das datas de aplicación dos actos de execución que os desenvolvan.

Os certificados de persoa xurídica e de entidade sen personalidade xurídica emitidos antes do 1 de xullo de 2016, data de aplicación completa do Regulamento (UE) 910/2014, poderán seguir utilizándose ata a súa caducidade ou revogación, pero non poderán renovarse despois desa data, tal e como se indica na nota publicada por este Ministerio.

Os certificados de persoa xurídica e entidades sen personalidade xurídica deberán deixar de emitirse o 1 de xullo de 2016 [PDF] [53 KB]

Así mesmo, respecto do uso deste tipo de certificado para realizar trámites coa Axencia Tributaria pode consultarse a información publicada na ligazón:

Renovación de certificados FNMT-RCM de persoa xurídica e entidades sen personalidade xurídica

Lista que establece, mantén e publica cada Estado membro na que se inclúe información relativa aos fornecedores cualificados de servizos electrónicos de confianza, xunto con a información relacionada cos servizos electrónicos de confianza cualificados prestados por eles.

La información que se proporciona na lista de confianza está destinada principalmente á validación de servizos electrónicos de confianza cualificados proporcionados por aqueles fornecedores cualificados de servizos electrónicos de confianza establecidos no Estado membro que publica a lista, por exemplo, firmas electrónicas ou selos electrónicos cualificados, firmas electrónicas ou selos electrónicos avanzados admitidos por un certificado cualificado, marcas de tempo cualificadas, probas de entrega electrónica cualificadas, etc.

Actualmente, a lista de confianza de España atópase publicada en:

Lista de Confianza de España [PDF]

Lista de Confianza de España [XML]

El Reglamento (UE) 910/2014 define tres tipos de firma electrónica:

  • «firma electrónica», os datos en formato electrónico anejos a outros datos electrónicos ou asociados de maneira lóxica con eles que utiliza o asinante para asinar.
  • «firma electrónica avanzada», a firma electrónica que cumpre os seguintes requisitos:
    • estar vinculada ao asinante de maneira única.
    • permitir a identificación do asinante.
    • ser creada utilizando datos de creación da firma electrónica que o asinante pode utilizar, cun alto nivel de confianza, baixo o seu control exclusivo, e
    • estar vinculada cos datos asinados pola mesma de modo tal que calquera modificación ulterior dos mesmos sexa detectable.
  • «firma electrónica cualificada», unha firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas e que se basea nun certificado cualificado de firma electrónica.

El Reglamento (UE) 910/2014 define tres tipos de selo electrónico:

  • «selo electrónico», datos en formato electrónico anejos a outros datos en formato electrónico, ou asociados de maneira lóxica con eles, para garantir a orixe e a integridade destes últimos.
  • «selo electrónico avanzado», un selo electrónico que cumpre os seguintes requisitos:
    • estar vinculado ao creador do selo de maneira única.
    • permitir a identificación do creador do selo.
    • ser creado utilizando datos de creación do selo electrónico que o creador do selo pode utilizar para a creación dun selo electrónico, cun alto nivel de confianza, baixo o seu control, e
    • estar vinculado cos datos a que se refire de modo tal que calquera modificación ulterior dos mesmos sexa detectable.
  • «selo electrónico cualificado», un selo electrónico avanzado que se crea mediante un dispositivo cualificado de creación de selos electrónicos e que se basea nun certificado cualificado de selo electrónico.

De acuerdo con o artigo 3.18 do Regulamento (UE) 910/2014, é un organismo definido no punto 13 do artigo 2 do Regulamento (CE) 765/2008 cuxa competencia para realizar unha avaliación de conformidade dun fornecedor cualificado de servizos de confianza e dos servizos de confianza cualificados que este presta estea acreditada en función do este Regulamento. Non se atopa entre as súas funcións a certificación de dispositivos cualificados de creación de firma ou selo.

A acreditación da competencia dun organismo de avaliación de conformidade corresponde á Entidade Nacional de Acreditación (ENAC). ENAC atópase en disposición de acreditar conforme a norma EN 319 403, que establece os requisitos para asegurar a competencia técnica, a operatividade e imparcialidade daqueles organismos que auditan e certifican aos provedores de servizos de identificación electrónica e fornecedores de servizos electrónicos de confianza para transaccións electrónicas.

ENAC acreditou a varios organismos de avaliación da conformidade establecidos en España. Puede consultar a lista de organismos de avaliación da conformidade acreditados nos Estados membros da UE na páxina da Comisión Europea.

Os fornecedores cualificados de servizos electrónicos de confianza deben ser auditados, polo menos cada 24 meses, por un organismo de avaliación da conformidade. A finalidade da auditoría é confirmar que tanto os fornecedores cualificados de servizos electrónicos de confianza como os servizos electrónicos de confianza cualificados que prestan cumpren os requisitos establecidos no Regulamento (UE) 910/2014.

Os fornecedores cualificados de servizos electrónicos de confianza deben enviar o informe de avaliación da conformidade correspondente ao organismo de supervisión no prazo de tres días hábiles tras a súa recepción.

Os fornecedores de servizos de certificación que expedían certificados recoñecidos benefícianse da medida transitoria establecida no artigo 51 do Regulamento eIDAS, e son en consecuencia considerados desde entón fornecedores cualificados de servizos de confianza que expiden certificados cualificados de firma electrónica (con data límite 1 de xullo de 2017 para presentar o informe de avaliación de conformidade). No entanto, estes fornecedores non son considerados cualificados para a prestación doutros servizos como puidesen ser a expedición de certificados cualificados de selo ou de autenticación de sitios web, para cuxa prestación han de presentar en calquera caso o correspondente informe de avaliación da conformidade emitido por un organismo de avaliación da conformidade oportunamente acreditado.

Únicamente cando a cualificación se asociou co tipo de servizo na lista de confianza.

O apartado 2 do artigo 19 do Regulamento (UE) nº 910/2014 do Parlamento europeo e do Consello, do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza nas transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE (Regulamento eIDAS), impón aos fornecedores de servizos de confianza a obriga de notificar calquera violación da seguridade ou perda da integridade que teña un impacto significativo no servizo de confianza prestado ou nos datos persoais correspondentes, no seu caso, con independencia de que o incidente se producise dun modo accidental por un erro humano.

Cuando o fornecedor considere que concorre tal circunstancia, de acordo ao citado artigo 19.2 do Regulamento eIDAS, notificará o incidente, nun prazo de 24 horas tras ter coñecemento deste, ao organismo supervisor conforme o indicado na Guía de notificación de incidentes. Este Órgano Supervisor tras a análise da información remitida, informará, en caso pertinente, aos organismos de supervisión doutros Estados membros afectados, así como a ENISA, e, en caso de considerar que a divulgación da violación de seguridade ou a perda de integridade reviste un interese público, informará o público ou esixirá ao fornecedor de servizos de confianza que informe publicamente do feito. A violación de seguridade notificada, debidamente anonimizada, formará parte, no seu caso, do resumo anual que o supervisor debe facilitar a ENISA conforme ao disposto no artigo 19.3 do Regulamento eIDAS.

Para máis información, pode consultarse o informe de ENISA sobre a notificación de incidentes polo citado artigo 19 do Regulamento eIDAS.

O incumprimento da obriga de notificación de incidentes establecida no artigo 19.2 do Regulamento eIDAS, nos termos previstos no artigo 13 da Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza, pode constituír infracción grave de acordo ao disposto no artigo 18.f da citada Lei 6/2020.

Pode enviar unha consulta sobre información xeral, non individualizada, en relación co Regulamento (UE) Nº 910/2014 do Parlamento europeo e do Consello, do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza nas transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE, así como coa Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza a través de lfe@economia.gob.es