Prestadors de serveis electrònics de confiança
Prestadores cualificados de servicios electrónicos de confianza
El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS), es de aplicación desde el 1 de julio de 2016. Por su parte, la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza establece en su artículo 17.2 que la información referente a los prestadores cualificados de servicios de confianza podrá ser objeto de publicación en la dirección de internet del Ministerio de Asuntos Económicos y Transformación. En consecuencia, la información mostrada en la página web del Ministerio de Asuntos Económicos y Transformación Digital en relación con los prestadores cualificados de servicios de confianza se estructura en las siguientes categorías de servicios cualificados, previstas en el citado Reglamento eIDAS:
- Servicio de expedición de certificados electrónicos cualificados de firma electrónica
- Servicio de expedición de certificados electrónicos cualificados de sello electrónico
- Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
- Servicio de expedición de sellos electrónicos cualificados de tiempo
- Servicio cualificado de entrega electrónica certificada
- Servicio cualificado de validación de firmas electrónicas cualificadas
- Servicio cualificado de validación de sellos electrónicos cualificados
- Servicio cualificado de conservación de firmas electrónicas cualificadas
- Servicio cualificado de conservación de sellos electrónicos cualificados
Relación de prestadores de servicios electrónicos de confianza cualificados
Notificación de servicios electrónicos de confianza cualificados
Prestadores no cualificados de servicios electrónicos de confianza
Los servicios electrónicos de confianza no cualificados según el artículo 3(16) del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, serán publicados en la página web del Ministerio de Asuntos Económicos y Transformación Digital conforme con lo establecido en el artículo 12 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. No obstante lo anterior, conforme al Reglamento eIDAS, el Ministerio de Asuntos Económicos y Transformación Digital no comprueba la alineación de los correspondientes servicios a la legislación aplicable en materia de servicios de confianza antes de su publicación. Las personas que entiendan que su prestación no se ajusta al Reglamento eIDAS o a la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza pueden ponerlo en conocimiento del Ministerio para su investigación y corrección, si procede, a través del buzón lfe@economia.gob.es.
Relación de prestadores de servicios electrónicos de confianza no cualificados
Comunicación de servicios electrónicos de confianza no cualificados
Prestadores que han cesado su actividad
La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza establece en su artículo 9.3.c) que el prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad, por un medio que acredite la entrega y recepción efectiva siempre que sea factible. El plan de cese del prestador de servicios puede incluir la transferencia de clientes, una vez acreditada la ausencia de oposición de los mismos, a otro prestador cualificado, el cual podrá conservar la información relativa a los servicios prestados hasta entonces. Igualmente, comunicará al órgano de supervisión cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga contra él.
Asimismo, el artículo 9.3.a) establece que el período de tiempo durante el que deberán conservar la información relativa a los servicios prestados de acuerdo con el artículo 24.2.h) del Reglamento (UE) 910/2014, será de 15 años desde la extinción del certificado o la finalización del servicio prestado.
Por otro lado y en relación con la prestación de servicios cualificados de confianza, el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE obliga a los prestadores cualificados de servicios de confianza a informar al organismo de supervisión de su intención de cesar la prestación de sus servicios (art. 24.2.a), así como a contar con un plan de cese actualizado para garantizar la continuidad del servicio (art. 24.2.i).
Además, conforme a lo indicado (art. 17.4.i) en el citado Reglamento este Ministerio (en ejercicio de sus funciones como organismo de supervisión) verifica la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades.
Lista de confianza de prestadores cualificados de servicios electrónicos de confianza (TSL)
La Decisión de Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior requiere, en consonancia con lo previsto en el artículo 22, apartado 1, del citado Reglamento, que cada Estado miembro debe establecer, mantener y publicar listas de confianza con información relativa a los prestadores cualificados de servicios electrónicos de confianza junto con la información relacionada con los servicios electrónicos de confianza cualificados prestados por ellos.
En consecuencia de lo anteriormente expuesto, el Ministerio de Asuntos Económicos y Transformación Digital ha elaborado una Lista de confianza de prestadores de servicios electrónicos de confianza (TSL) correspondiente a los prestadores que proporcionan servicios electrónicos de confianza cualificados y que están establecidos y supervisados en España. La TSL está accesible en el siguiente enlace:
Lista de confianza de prestadores de servicios electrónicos de confianza (TSL)
Guía de interpretación de la TSL [PDF]
La Comisión Europea ha publicado en el siguiente enlace la relación de Listas de Servicios de Confianza (TSL) pertenecientes a los diferentes Estados Miembros:
Buscador de Prestadores de Confianza
Notificación de incidentes de seguridad
El artículo 19.2 del Reglamento eIDAS impone a todos los prestadores de servicios de confianza, cualificados y no cualificados, la obligación de notificar al organismo de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.
En este sentido, el artículo 13 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza establece que los prestadores cualificados y no cualificados de servicios electrónicos de confianza notificarán al Ministerio de Asuntos Económicos y Transformación Digital las violaciones de seguridad o pérdidas de la integridad señaladas en el artículo 19.2 del Reglamento (UE) 910/2014, sin perjuicio de su notificación a la Agencia Española de Protección de Datos, a otros organismos relevantes o a las personas afectadas. Asimismo, señala que los prestadores de servicios ampliarán, en un plazo máximo de un mes tras la notificación del incidente y, de haber tenido lugar, tras su resolución, la información suministrada en la notificación inicial con arreglo a las directrices y formularios que pueda establecer el Ministerio de Asuntos Económicos y Transformación Digital.
Puede obtenerse información más detallada al respecto en la siguiente nota:
Notificación de incidentes de seguridad de prestadores de servicios de confianza