Prestadores de servizos electrónicos de confianza
Fornecedores cualificados de servizos electrónicos de confianza
El Regulamento (UE) Nº 910/2014 do Parlamento Europeo e do Consello do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza nas transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE (eIDAS), prevé as seguintes categorías de servidores cualificados:
- Servizo de expedición de certificados electrónicos cualificados de firma electrónica
- Servizo de expedición de certificados electrónicos cualificados de selo electrónico
- Servizo de expedición de certificados electrónicos cualificados de autenticación de sitios web
- Servizo de expedición de selos electrónicos cualificados de tempo
- Servizo cualificado de entrega electrónica certificada
- Servizo cualificado de validación de firmas electrónicas cualificadas
- Servizo cualificado de validación de selos electrónicos cualificados
- Servizo cualificado de conservación de firmas electrónicas cualificadas
- Servizo cualificado de conservación de selos electrónicos cualificados
De conformidade co artigo 17 do Regulamento eIDAS, o organismo de supervisión supervisa aos fornecedores cualificados mediante actividades de supervisión previas e posteriores.
El 20 de maio de 2024 entrou en vigor o Regulamento (UE) 2024/1183 do Parlamento Europeo e do Consello, do 11 de abril de 2024, polo que se modifica o Regulamento (UE) N° 910/2014 no que respecta ao establecemento do marco europeo de identidade dixital, co obxecto de mellorar a súa eficacia, estender os seus beneficios ao sector privado e promover unhas identidades dixitais de confianza para todos os europeos. Por otro lado, defínense novos servizos de confianza e prevense unha serie de actos de implementación en canto a requisitos técnicos e de supervisión dos servizos de confianza.
Notificación de servizos electrónicos de confianza cualificados
Lista de confianza de fornecedores cualificados de servizos electrónicos de confianza (TSL)
La Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza (LSC) establece no seu artigo 16.1 que o Ministerio para a Transformación Dixital e da Función Pública establecerá, manterá e publicará a lista de confianza con información relativa aos fornecedores cualificados de servizos de confianza suxeitos á esta Lei, xunto con a información relacionada cos servizos de confianza cualificados prestados por eles, segundo o previsto no artigo 22 do Regulamento (UE) 910/2014.
La Decisión de Execución (UE) 2015/1505 da Comisión do 8 de setembro de 2015 pola que se establecen as especificacións técnicas e os formatos relacionados coas listas de confianza de conformidade co artigo 22, apartado 5, do Regulamento (UE) Nº 910/2014 do Parlamento Europeo e do Consello do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior require, en consonancia co previsto no artigo 22, apartado 1, do citado Regulamento, que cada Estado membro debe establecer, manter e publicar listas de confianza con información relativa aos fornecedores cualificados de servizos electrónicos de confianza xunto con a información relacionada cos servizos electrónicos de confianza cualificados prestados por eles.
De conformidade co anteriormente exposto, o Ministerio para a Transformación Dixital e da Función Pública ha elaborado unha Lista de confianza de fornecedores de servizos electrónicos de confianza (TSL) correspondente aos fornecedores que proporcionan servizos electrónicos de confianza cualificados e que están establecidos e supervisados en España. La TSL está accesible na seguinte ligazón:
- Lista de confianza de fornecedores cualificados de servizos electrónicos de confianza (TSL)
- Guía de interpretación da TSL
- Suscribirse aos cambios na lista de confianza de fornecedores cualificados de servizos electrónicos de confianza
A Comisión Europea proporciona no seguinte enlace unha ferramenta para explorar as Listas de Servizos de Confianza (TSL) pertencentes aos diferentes Estados Membros e a lista de listas de confianza, “List of Trusted Lists” (LoTL):
- Ferramenta da Comisión para explorar as TSL dos EEMM
- Enlace á TSL española na ferramenta da Comisión
- Versión procesable en XML da LoTL da Comisión
De forma complementaria, a LSC establece no seu artigo 17.2 que a información referente aos fornecedores cualificados de servizos de confianza poderá ser obxecto de publicación na dirección de internet do Ministerio para a Transformación Dixital e da Función Pública para a súa difusión e coñecemento.
- Servizo de difusión de información de fornecedores cualificados previsto no artigo 17.2 da LSC
Fornecedores non cualificados de servizos electrónicos de confianza
Os fornecedores de servizos electrónicos de confianza non cualificados segundo o artigo 3(16) do Regulamento (UE) Nº 910/2014 do Parlamento Europeo e do Consello do 23 de xullo de 2014 relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE (Regulamento eIDAS), non están suxeitos a actividades de supervisión previas.
El organismo de supervisión pode, de conformidade co artigo 17 do Regulamento eIDAS, adoptar medidas mediante actividades de supervisión posteriores, cando reciba a información de que estes fornecedores non cualificados de servizos de confianza, ou os servizos de confianza prestados por eles, supostamente non cumpren os requisitos establecidos no Regulamento.
Notificación de incidentes de seguridade
El artigo 19.2 do Regulamento eIDAS impón a todos os fornecedores de servizos de confianza, cualificados e non cualificados, a obriga de notificar ao organismo de supervisión calquera violación da seguridade ou perda da integridade que teña un impacto significativo no servizo de confianza prestado ou nos datos persoais correspondentes.
En este sentido, o artigo 13 da Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza establece que os fornecedores cualificados e non cualificados de servizos electrónicos de confianza notificarán ao Ministerio de Asuntos Económicos e Transformación Dixital as violacións de seguridade ou perdas da integridade sinaladas no artigo 19.2 do Regulamento (UE) 910/2014, sen prexuízo da súa notificación á Axencia Española de Protección de Datos, a outros organismos relevantes ou ás persoas afectadas.
Así mesmo, sinala que os fornecedores de servizos ampliarán, nun prazo máximo dun mes tras a notificación do incidente e, de ter lugar, tras a súa resolución, a información fornecida na notificación inicial con arranxo ás directrices e formularios que poida establecer o Ministerio de Asuntos Económicos e Transformación Dixital.
Puede obterse información máis detallada respecto diso na seguinte nota:
Notificación de incidentes de seguridade de fornecedores de servizos de confianza
Fornecedores que cesaron a súa actividade
A Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza establece no seu artigo 9.3.c) que o fornecedor cualificado que vaia cesar na súa actividade deberá comunicalo aos clientes aos que preste os seus servizos e ao órgano de supervisión cunha antelación mínima de dous meses ao cesamento efectivo da actividade, por un medio que acredite a entrega e recepción efectiva sempre que sexa factible. O plan de cesamento do fornecedor de servizos pode incluír a transferencia de clientes, unha vez acreditada a ausencia de oposición dos mesmos, a outro fornecedor cualificado, o cal poderá conservar a información relativa aos servizos prestados ata entón. Igualmente, comunicará ao órgano de supervisión calquera outra circunstancia relevante que poida impedir a continuación da súa actividade. En especial, deberá comunicar, en canto teña coñecemento diso, a apertura de calquera proceso concursal que se siga contra el.
Así mesmo, o artigo 9.3.a) establece que o período de tempo durante o que deberán conservar a información relativa aos servizos prestados de acordo con o artigo 24.2.h) do Regulamento (UE) 910/2014, será de 15 anos desde a extinción do certificado ou a finalización do servizo prestado.
Doutra banda e en relación coa prestación de servizos cualificados de confianza, o Regulamento (UE) Nº 910/2014 do Parlamento Europeo e do Consello do 23 de xullo de 2014 relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE obriga aos fornecedores cualificados de servizos de confianza a informar o organismo de supervisión da súa intención de cesar a prestación dos seus servizos (art. 24.2.a), así como a contar cun plan de cesamento actualizado para garantir a continuidade do servizo (art. 24.2.i).
Ademais, conforme ao indicado (art. 17.4.i) no citado Regulamento este Ministerio (en exercicio das súas funcións como organismo de supervisión) verifica a existencia e a correcta aplicación das disposicións relativas aos plans de cesamento no caso de que os fornecedores de servizos de confianza cesen as súas actividades.