Prestadores de serveis electrònics de confiança
Prestadors qualificats de serveis electrònics de confiança
El Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (eIDAS), preveu les següents categories de servidors qualificats:
- Servei d'expedició de certificats electrònics qualificats de signatura electrònica
- Servei d'expedició de certificats electrònics qualificats de segell electrònic
- Servei d'expedició de certificats electrònics qualificats d'autenticació de llocs web
- Servei d'expedició de segells electrònics qualificats de temps
- Servei qualificat de lliurament electrònic certificat
- Servei qualificat de validació de signatures electròniques qualificades
- Servei qualificat de validació de segells electrònics qualificats
- Servei qualificat de conservació de signatures electròniques qualificades
- Servei qualificat de conservació de segells electrònics qualificats
De conformitat amb l'article 17 del Reglament eIDAS, l'organisme de supervisió supervisa als prestadors qualificats mitjançant activitats de supervisió prèvies i posteriors.
El 20 de maig de 2024 va entrar en vigor el Reglament (UE) 2024/1183 del Parlament Europeu i del Consell, d'11 d'abril de 2024, pel qual es modifica el Reglament (UE) N° 910/2014 pel que fa a l'establiment del marc europeu d'identitat digital, a fi de millorar la seua eficàcia, estendre els seus beneficis al sector privat i promoure unes identitats digitals de confiança per a tots els europeus. Por otro lado, es defineixen nous serveis de confiança i es preveuen una sèrie d'actes d'implementació quant a requisits tècnics i de supervisió dels serveis de confiança.
Lista de confiança de prestadors qualificats de serveis electrònics de confiança (TSL)
La Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança (LSC) establix en el seu article 16.1 que el Ministeri per a la Transformació Digital i de la Funció Pública establirà, mantindrà i publicarà la llista de confiança amb informació relativa als prestadors qualificats de serveis de confiança subjectes a aquesta Llei, juntament amb la informació relacionada amb els serveis de confiança qualificats prestats per ells, segons el que es preveu en l'article 22 del Reglament (UE) 910/2014.
La Decisión de Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior requiere, en consonancia con lo previsto en el artículo 22, apartado 1, del citado Reglamento, que cada Estado miembro debe establecer, mantener y publicar listas de confianza con información relativa a los prestadores cualificados de servicios electrónicos de confianza junto con la información relacionada con los servicios electrónicos de confianza cualificados prestados por ellos.
De conformitat amb l'anteriorment exposat, el Ministeri per a la Transformació Digital i de la Funció Pública ha elaborat una Lista de confiança de prestadors de serveis electrònics de confiança (TSL) corresponent als prestadors que proporcionen serveis electrònics de confiança qualificats i que estan establits i supervisats a Espanya. La TSL està accessible en el següent enllaç:
- Lista de confianza de prestadores cualificados de servicios electrónicos de confianza (TSL)
- Guía d'interpretació de la TSL
- Suscribirse als canvis en la llista de confiança de prestadors qualificats de serveis electrònics de confiança
La Comissió Europea proporciona en el següent enllace una eina per a explorar les Llistes de Serveis de Confiança (TSL) pertanyents als diferents Estats membres i la llista de llistes de confiança, “List of Trusted Lists” (LoTL):
- Eina de la Comissió per a explorar les TSL dels EEMM
- Enlace a la TSL espanyola en l'eina de la Comissió
- Versión procesable en XML de la LoTL de la Comissió
De forma complementària, la LSC establix en el seu article 17.2 que la informació referent als prestadors qualificats de serveis de confiança podrà ser objecte de publicació en l'adreça d'internet del Ministeri per a la Transformació Digital i de la Funció Pública per a la seua difusió i coneixement.
- Servei de difusió d'informació de prestadors qualificats previst en l'article 17.2 de la LSC
Prestadors no qualificats de serveis electrònics de confiança
Els prestadors de serveis electrònics de confiança no qualificats segons l'article 3(16) del Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014 relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (Reglament eIDAS), no estan subjectes a activitats de supervisió prèvies.
El organisme de supervisió pot, de conformitat amb l'article 17 del Reglament eIDAS, adoptar mesures mitjançant activitats de supervisió posteriors, quan reba la informació que aquests prestadors no qualificats de serveis de confiança, o els serveis de confiança prestats per ells, suposadament no complixen els requisits establits en el Reglament.
Notificació d'incidents de seguretat
El article 19.2 del Reglament eIDAS imposa a tots els prestadors de serveis de confiança, qualificats i no qualificats, l'obligació de notificar a l'organisme de supervisió qualsevol violació de la seguretat o pèrdua de la integritat que tinga un impacte significatiu en el servei de confiança prestat o en les dades personals corresponents.
En este sentit, l'article 13 de la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança establix que els prestadors qualificats i no qualificats de serveis electrònics de confiança notificaran al Ministeri d'Assumptes Econòmics i Transformació Digital les violacions de seguretat o pèrdues de la integritat assenyalades en l'article 19.2 del Reglament (UE) 910/2014, sense perjudici de la seua notificació a l'Agència Espanyola de Protecció de Dades, a altres organismes rellevants o a les persones afectades.
Així mateix, assenyala que els prestadors de serveis ampliaran, en un termini màxim d'un mes després de la notificació de l'incident i, d'haver tingut lloc, després de la seua resolució, la informació subministrada en la notificació inicial conformement a les directrius i formularis que puga establir el Ministeri d'Assumptes Econòmics i Transformació Digital.
Puede obtindre's informació més detallada sobre aquest tema en la següent nota:
Notificació d'incidents de seguretat de prestadors de serveis de confiança
Prestadors que han cessat la seua activitat
La Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança establix en el seu article 9.3.c) que el prestador qualificat que vaja a cessar en la seua activitat haurà de comunicar-lo als clients als quals preste els seus serveis i a l'òrgan de supervisió amb una antelació mínima de dos mesos al cessament efectiu de l'activitat, per un mitjà que acredite el lliurament i recepció efectiva sempre que siga factible. El pla de cessament del prestador de serveis pot incloure la transferència de clients, una vegada acreditada l'absència d'oposició d'aquests, a un altre prestador qualificat, el qual podrà conservar la informació relativa als serveis prestats fins llavors. Igualment, comunicarà a l'òrgan de supervisió qualsevol altra circumstància rellevant que puga impedir la continuació de la seua activitat. Especialment, haurà de comunicar, quan tinga coneixement d'això, l'obertura de qualsevol procés concursal que se seguisca contra ell.
Així mateix, l'article 9.3.a) establix que el període de temps durant el qual hauran de conservar la informació relativa als serveis prestats d'acord amb l'article 24.2.h) del Reglament (UE) 910/2014, serà de 15 anys des de l'extinció del certificat o la finalització del servei prestat.
D'altra banda i en relació amb la prestació de serveis qualificats de confiança, el Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014 relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE obliga als prestadors qualificats de serveis de confiança a informar de l'organisme de supervisió de la seua intenció de cessar la prestació dels seus serveis (art. 24.2.a), així com a comptar amb un pla de cessament actualitzat per a garantir la continuïtat del servei (art. 24.2.i).
A més, conforme a l'indicat (art. 17.4.i) en el citat Reglament este Ministeri (en exercici de les seues funcions com a organisme de supervisió) verifica l'existència i la correcta aplicació de les disposicions relatives als plans de cessament en cas que els prestadors de serveis de confiança cessen les seues activitats.