El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) establece las condiciones en que los Estados miembros deberán reconocer los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro, así como las normas para los servicios de confianza y un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.

Un servicio electrónico prestado habitualmente a cambio de una remuneración y que consiste en:

1. la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios.
2. la creación, verificación y validación de certificados para la autenticación de sitios web.
3. la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.

Un servicio de confianza que cumple los requisitos aplicables establecidos en el Reglamento (UE) 910/2014.

Si un prestador de servicios de confianza tiene la intención de iniciar la prestación de servicios de confianza cualificados, debe presentar al organismo de supervisión una notificación de su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad.

Una vez que el prestador de servicios de confianza haya aportado toda la información requerida para iniciar su actividad, incluyendo el informe de evaluación de la conformidad emitido por un organismo de evaluación de la conformidad debidamente acreditado, el organismo de supervisión verificará si el prestador y los servicios de confianza que presta cumplen los requisitos establecidos en el Reglamento (UE) 910/2014 y, si concluye que el prestador y los servicios de confianza que presta cumplen los citados requisitos, concederá la cualificación y actualizará la lista de confianza.

Un prestador de servicios de certificación que emita certificados reconocidos conforme a la Directiva 1999/93/CE debe presentar un informe de evaluación de conformidad al organismo supervisor lo antes posible, pero no más tarde del 1 de julio de 2017. Hasta que el prestador de servicios de certificación presente dicho informe de evaluación de conformidad y el organismo supervisor ultime su análisis, el mencionado prestador de servicios de certificación será considerado como prestador cualificado de servicios de confianza.

La etiqueta de confianza «UE» para servicios electrónicos de confianza cualificados distingue claramente los servicios de confianza cualificados de los demás servicios de confianza, contribuyendo así a la transparencia en el mercado y fomentando, por ende, la confianza en los servicios en línea y la conveniencia de estos. Las características y condiciones de uso de la etiqueta se encuentran definidos en el Reglamento de Ejecución (UE) 2015/806 de la Comisión de 22 de mayo de 2015 por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados.

Los prestadores cualificados de los servicios electrónicos de confianza podrán usar la etiqueta de confianza «UE» a partir del 1 de julio de 2016, una vez que la cualificación de los servicios se haya incluido en la lista de confianza.

Cada Estado miembro tiene la obligación de designar un organismo de supervisión responsable de las funciones de supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado y de adoptar las medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro.

En España, el organismo de supervisión es la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital.

El Reglamento (UE) 910/2014 entró en vigor el 17 de septiembre de 2014, pero no será de aplicación en su totalidad hasta el 1 de julio de 2016.

No obstante lo anterior, el Reglamento (artículo 52) prevé que determinadas disposiciones incluidas en el mismo sean aplicables en fechas diferentes en función de las fechas de aplicación de los actos de ejecución que los desarrollen.

Los certificados de persona jurídica y de entidad sin personalidad jurídica emitidos antes del 1 de julio de 2016, fecha de aplicación completa del Reglamento (UE) 910/2014, podrán seguir utilizándose hasta su caducidad o revocación, pero no podrán renovarse después de esa fecha, tal y como se indica en la nota publicada por este Ministerio. 

Los certificados de persona jurídica y entidades sin personalidad jurídica deberán dejar de emitirse el 1 de julio de 2016 [PDF] [53 KB]

Asimismo, respecto al uso de este tipo de certificado para realizar trámites con la Agencia Tributaria puede consultarse la información publicada en el enlace:

 Renovación de certificados FNMT-RCM de persona jurídica y entidades sin personalidad jurídica

Lista que establece, mantiene y publica cada Estado miembro en la que se incluye información relativa a los prestadores cualificados de servicios electrónicos de confianza, junto con la información relacionada con los servicios electrónicos de confianza cualificados prestados por ellos.

La información que se proporciona en la lista de confianza está destinada principalmente a la validación de servicios electrónicos de confianza cualificados proporcionados por aquellos prestadores cualificados de servicios electrónicos de confianza establecidos en el Estado miembro que publica la lista, por ejemplo, firmas electrónicas o sellos electrónicos cualificados, firmas electrónicas o sellos electrónicos avanzados admitidos por un certificado cualificado, marcas de tiempo cualificadas, pruebas de entrega electrónica cualificadas, etc.

Actualmente, la lista de confianza de España se encuentra publicada en:

Lista de Confianza de España [PDF]

Lista de Confianza de España [XML]

El Reglamento (UE) 910/2014 define tres tipos de firma electrónica:

• «firma electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
• «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
  • estar vinculada al firmante de manera única.
  • permitir la identificación del firmante.
  • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
  • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
• «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.

El Reglamento (UE) 910/2014 define tres tipos de sello electrónico:

• «sello electrónico», datos en formato electrónico anejos a otros datos en formato electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de estos últimos.
• «sello electrónico avanzado», un sello electrónico que cumple los siguientes requisitos:
  • estar vinculado al creador del sello de manera única.
  • permitir la identificación del creador del sello.
  • haber sido creado utilizando datos de creación del sello electrónico que el creador del sello puede utilizar para la creación de un sello electrónico, con un alto nivel de confianza, bajo su control, y
  • estar vinculado con los datos a que se refiere de modo tal que cualquier modificación ulterior de los mismos sea detectable.
• «sello electrónico cualificado», un sello electrónico avanzado que se crea mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello electrónico.

Los prestadores cualificados de servicios electrónicos de confianza deben ser auditados, al menos cada 24 meses, por un organismo de evaluación de la conformidad. La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

Los prestadores cualificados de servicios electrónicos de confianza deben enviar el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.

El apartado 2 del artículo 19 del Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS), impone a los prestadores de servicios de confianza la obligación de notificar cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes, en su caso, con independencia de que el incidente se haya producido de un modo accidental por un error humano.

Cuando el prestador considere que concurre tal circunstancia, de acuerdo al citado artículo 19.2 del Reglamento eIDAS, notificará el incidente, en un plazo de 24 horas tras tener conocimiento de éste, al organismo supervisor conforme lo indicado en la Guía de notificación de incidentes. Este Órgano Supervisor tras el análisis de la información remitida, informará, en caso pertinente, a los organismos de supervisión de otros Estados miembros afectados, así como a ENISA, y, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste un interés público, informará al público o exigirá al prestador de servicios de confianza que informe públicamente del hecho. La violación de seguridad notificada, debidamente anonimizada, formará parte, en su caso, del resumen anual que el supervisor debe facilitar a ENISA conforme a lo dispuesto en el artículo 19.3 del Reglamento eIDAS.

Para más información, puede consultarse el informe de ENISA sobre la notificación de incidentes por el citado artículo 19 del Reglamento eIDAS.

El incumplimiento de la obligación de notificación de incidentes establecida en el artículo 19.2 del Reglamento eIDAS, en los términos previstos en el artículo 13 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, puede constituir infracción grave de acuerdo a lo dispuesto en el artículo 18.f de la citada Ley 6/2020.