Comentari sobre la Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança.


Després de la publicació del REGLAMENT (UE) 910/2014 DEL PARLAMENT EUROPEU I DEL CONSELL, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE (eIDAS) la Llei 59/2003 de Signatura Electrònica va quedar desplaçada per la qual cosa era inevitable la promulgació d’una nova Llei que incorporés les previsions del Reglament eIDAS i el complementés en allò que fos necessari. A aquest efecte, el passat 11 de novembre es va aprovar la Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança.

1) Concepto de servicios electrónicos de confianza:

Los servicios electrónicos de confianza son servicios prestados, normalmente, a cambio de una remuneración y consisten en (i) crear, verificar y validar firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos o servicios de entrega electrónica certificada, (ii) la creación, verificación y validación de certificados de autenticación de sitios web o (iii) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.

Estos servicios de confianza pueden ser proporcionados por prestadores cualificados, para los que se prevé un régimen de verificación previa del cumplimiento de los requisitos, o prestadores no cualificados, que pueden prestar servicios sin previa verificación de cumplimiento de los requisitos. Los prestadores pueden ser entes públicos o privados.

2) Novedades introducidas por la Ley 6/2020:

  1. En relación con los efectos jurídicos de los servicios cualificados, la Ley introduce una presunción de validez iuris tantum en relación a los documentos electrónicos expedidos mediante servicios cualificados, por lo que en caso de impugnación en juicio de su autenticidad o integridad la carga de la prueba pesará sobre quien lo haya impugnado, a cuyo efecto se ha modificado el apartado 3 del art. 326 de la Ley de Enjuiciamiento Civil.
  2. En cuanto a la identidad y atributos del titular de los certificados cualificados, las personas físicas deberán identificarse para su obtención mediante su DNI, NIE o NIF salvo que carezcan de estos documentos, en cuyo caso podrán identificarse mediante otro número identificativo siempre que éste sea permanente en el tiempo e identifique a su titular de forma unívoca. Las personas jurídicas deberán identificarse mediante su denominación social y su NIF o mediante un código que les identifique de forma unívoca y permanente en el tiempo, de conformidad con los registros oficiales.
  3. Asimismo, se deja la puerta abierta a la posibilidad de que los prestadores de servicios de confianza puedan utilizar para la identificación del solicitante la videollamada sin necesidad de presencia física, tal y como ya viene realizándose en otros estados miembros.

3) Responsabilidad de los prestadores de servicios electrónicos de confianza:

  1. Se obliga a los prestadores de servicios de confianza cualificados privados a la contratación de un seguro de responsabilidad civil, aval bancario o seguro de caución, por importe de mínimo 1.500.000.-€ y 500.000.-€ por cada servicio cualificado adicional que presten.
  2. Tanto los prestadores de servicios de confianza cualificados como los no cualificados deberán adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos de seguridad en sus sistemas (de conformidad, además, con lo establecido en el art. 32 del RGPD) y, en caso de detectarse una brecha de seguridad deberán informar de ello al organismo supervisor en el plazo máximo de 24 horas, así como, en su caso, a las autoridades de control competentes (AEPD, CCN-CERT o INCIBE).
  3. Todos los prestadores de servicios de confianza deberán custodiar la información sobre el servicio prestado durante el plazo de 15 años desde la extinción del certificado o desde la finalización del servicio prestado. Además, deberá ponerse a disposición del público el estado de validez de los certificados emitidos, ya sean cualificados o no.
  4. En cuanto al régimen sancionador, dependiendo de la gravedad de la infracción, se pueden llegar a imponer multas de hasta 300.000.-€.

4) Derogaciones introducidas por la Ley:

  1. La nueva ley deroga la figura de los terceros de confianza establecida en el art. 25 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, ya que los servicios prestados por éstos quedan subsumidos en el reglamento eIDAS, por lo que los que quieran seguir operando como tales deberán comunicarlo en el plazo de 3 meses desde la publicación de la Ley 6/2020 al MAEyTD.
  2. En relación a las personas jurídicas o entidades sin personalidad jurídica, únicamente se prevé la posibilidad de que dispongan de sellos electrónicos, ya que la facultad de firmar queda reservada a las personas físicas (en su propio nombre o en representación de terceros).

5) Protección de datos personales:

Por último, no podemos dejar de recordar que el Reglamento eIDAS contiene algunas disposiciones relativas a la protección de los datos personales de los interesados, algunas de ellas ya trasladadas a la Ley 6/2020, esto es:

  • La obligación de los organismos de supervisión de cooperar con las autoridades de protección de datos nacionales, por ejemplo, informándoles de los resultados de las auditorías de los prestadores cualificados de servicios de confianza, en caso de resultar infringidas las normas sobre protección de datos de carácter personal, incluyendo los incidentes en materia de seguridad y las violaciones de los datos de carácter personal.
  • Como ya se ha indicado, todos los prestadores de servicios de confianza, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y, en caso de ser necesario, al organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.
  • Los prestadores cualificados de servicios de confianza contarán con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de protección de datos personales.