Prestadores de servicios electrónicos de confianza
Prestadores cualificados de servicios electrónicos de confianza
El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS), prevé las siguientes categorías de servidores cualificados:
- Servicio de expedición de certificados electrónicos cualificados de firma electrónica
- Servicio de expedición de certificados electrónicos cualificados de sello electrónico
- Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
- Servicio de expedición de sellos electrónicos cualificados de tiempo
- Servicio cualificado de entrega electrónica certificada
- Servicio cualificado de validación de firmas electrónicas cualificadas
- Servicio cualificado de validación de sellos electrónicos cualificados
- Servicio cualificado de conservación de firmas electrónicas cualificadas
- Servicio cualificado de conservación de sellos electrónicos cualificados
De conformidad con el artículo 17 del Reglamento eIDAS, el organismo de supervisión supervisa a los prestadores cualificados mediante actividades de supervisión previas y posteriores.
El 20 de mayo de 2024 entró en vigor el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) N° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, con el objeto de mejorar su eficacia, extender sus beneficios al sector privado y promover unas identidades digitales de confianza para todos los europeos. Por otro lado, se definen nuevos servicios de confianza y se prevén una serie de actos de implementación en cuanto a requisitos técnicos y de supervisión de los servicios de confianza.
Notificación de servicios electrónicos de confianza cualificados
Lista de confianza de prestadores cualificados de servicios electrónicos de confianza (TSL)
La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (LSC) establece en su artículo 16.1 que el Ministerio para la Transformación Digital y de la Función Pública establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a dicha Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.
La Decisión de Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior requiere, en consonancia con lo previsto en el artículo 22, apartado 1, del citado Reglamento, que cada Estado miembro debe establecer, mantener y publicar listas de confianza con información relativa a los prestadores cualificados de servicios electrónicos de confianza junto con la información relacionada con los servicios electrónicos de confianza cualificados prestados por ellos.
De conformidad con lo anteriormente expuesto, el Ministerio para la Transformación Digital y de la Función Pública ha elaborado una Lista de confianza de prestadores de servicios electrónicos de confianza (TSL) correspondiente a los prestadores que proporcionan servicios electrónicos de confianza cualificados y que están establecidos y supervisados en España. La TSL está accesible en el siguiente enlace:
- Lista de confianza de prestadores cualificados de servicios electrónicos de confianza (TSL)
- Guía de interpretación de la TSL
- Suscribirse a los cambios en la lista de confianza de prestadores cualificados de servicios electrónicos de confianza
La Comisión Europea proporciona en el siguiente enlace una herramienta para explorar las Listas de Servicios de Confianza (TSL) pertenecientes a los diferentes Estados Miembros y la lista de listas de confianza, “List of Trusted Lists” (LoTL):
- Herramienta de la Comisión para explorar las TSL de los EEMM
- Enlace a la TSL española en la herramienta de la Comisión
- Versión procesable en XML de la LoTL de la Comisión
De forma complementaria, la LSC establece en su artículo 17.2 que la información referente a los prestadores cualificados de servicios de confianza podrá ser objeto de publicación en la dirección de internet del Ministerio para la Transformación Digital y de la Función Pública para su difusión y conocimiento.
- Servicio de difusión de información de prestadores cualificados previsto en el artículo 17.2 de la LSC
Prestadores no cualificados de servicios electrónicos de confianza
Los prestadores de servicios electrónicos de confianza no cualificados según el artículo 3(16) del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS), no están sujetos a actividades de supervisión previas.
El organismo de supervisión puede, de conformidad con el artículo 17 del Reglamento eIDAS, adoptar medidas mediante actividades de supervisión posteriores, cuando reciba la información de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos, supuestamente no cumplen los requisitos establecidos en el Reglamento.
Notificación de incidentes de seguridad
El artículo 19.2 del Reglamento eIDAS impone a todos los prestadores de servicios de confianza, cualificados y no cualificados, la obligación de notificar al organismo de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.
En este sentido, el artículo 13 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza establece que los prestadores cualificados y no cualificados de servicios electrónicos de confianza notificarán al Ministerio de Asuntos Económicos y Transformación Digital las violaciones de seguridad o pérdidas de la integridad señaladas en el artículo 19.2 del Reglamento (UE) 910/2014, sin perjuicio de su notificación a la Agencia Española de Protección de Datos, a otros organismos relevantes o a las personas afectadas.
Asimismo, señala que los prestadores de servicios ampliarán, en un plazo máximo de un mes tras la notificación del incidente y, de haber tenido lugar, tras su resolución, la información suministrada en la notificación inicial con arreglo a las directrices y formularios que pueda establecer el Ministerio de Asuntos Económicos y Transformación Digital.
Puede obtenerse información más detallada al respecto en la siguiente nota:
Notificación de incidentes de seguridad de prestadores de servicios de confianza
Prestadores que han cesado su actividad
La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza establece en su artículo 9.3.c) que el prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad, por un medio que acredite la entrega y recepción efectiva siempre que sea factible. El plan de cese del prestador de servicios puede incluir la transferencia de clientes, una vez acreditada la ausencia de oposición de los mismos, a otro prestador cualificado, el cual podrá conservar la información relativa a los servicios prestados hasta entonces. Igualmente, comunicará al órgano de supervisión cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga contra él.
Asimismo, el artículo 9.3.a) establece que el período de tiempo durante el que deberán conservar la información relativa a los servicios prestados de acuerdo con el artículo 24.2.h) del Reglamento (UE) 910/2014, será de 15 años desde la extinción del certificado o la finalización del servicio prestado.
Por otro lado y en relación con la prestación de servicios cualificados de confianza, el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE obliga a los prestadores cualificados de servicios de confianza a informar al organismo de supervisión de su intención de cesar la prestación de sus servicios (art. 24.2.a), así como a contar con un plan de cese actualizado para garantizar la continuidad del servicio (art. 24.2.i).
Además, conforme a lo indicado (art. 17.4.i) en el citado Reglamento este Ministerio (en ejercicio de sus funciones como organismo de supervisión) verifica la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades.