keyboard_tab EIDAS 2014/0910 ES

whereas estados:

• whereas (8) 1
• whereas (9) 1
• whereas (12) 3
• whereas (13) 3
• whereas (15) 1
• whereas (17) 2
• whereas (19) 2
• whereas (20) 2
• whereas (21) 1
• whereas (22) 1
• whereas (24) 1
• whereas (25) 1
• whereas (29) 1
• whereas (30) 2
• whereas (33) 1
• whereas (34) 2
• whereas (35) 1
• whereas (39) 1
• whereas (40) 2
• whereas (42) 1
• whereas (47) 1
• whereas (49) 1
• whereas (50) 3
• whereas (53) 2
• whereas (75) 1
• whereas (76) 1

definitions:

• identificación electrónica
• medios de identificación electrónica
• datos de identificación de la persona
• sistema de identificación electrónica
• autenticación
• parte usuaria
• organismo del sector público
• organismo de Derecho público
• firmante
• firma electrónica
• firma electrónica avanzada
• firma electrónica cualificada
• datos de creación de la firma electrónica
• certificado de firma electrónica
• certificado cualificado de firma electrónica
• servicio de confianza
• servicio de confianza cualificado
• organismo de evaluación de conformidad
• prestador de servicios de confianza
• prestador cualificado de servicios de confianza
• producto
• dispositivo de creación de firma electrónica
• dispositivo cualificado de creación de firma electrónica
• creador de un sello
• sello electrónico
• sello electrónico avanzado
• sello electrónico cualificado
• datos de creación del sello electrónico
• certificado de sello electrónico
• certificado cualificado de sello electrónico
• dispositivo de creación de sello electrónico
• dispositivo cualificado de creación de sello electrónico
• sello de tiempo electrónico
• sello cualificado de tiempo electrónico
• documento electrónico
• servicio de entrega electrónica certificada
• servicio cualificado de entrega electrónica certificada
• certificado de autenticación de sitio web
• certificado cualificado de autenticación de sitio web
• datos de validación
• validación

Artículo 1

Objeto

Con el objetivo de garantizar el correcto funcionamiento del mercado interior aspirando al mismo tiempo a un nivel de seguridad adecuado de los medios de identificación_electrónica y los servicios de confianza, el presente Reglamento:

a)	establece las condiciones en que los estados miembros deberán reconocer los medios de identificación_electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación_electrónica notificado de otro Estado miembro,

b)	establece normas para los servicios de confianza, en particular para las transacciones electrónicas, y

c)	establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.

Artículo 2

Ámbito de aplicación

1.   El presente Reglamento se aplica a los sistemas de identificación_electrónica notificados por los estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.

2.   El presente Reglamento no se aplica a la prestación de servicios de confianza utilizados exclusivamente dentro de sistemas cerrados resultantes del Derecho nacional o de acuerdos entre un conjunto definido de participantes.

3.   El presente Reglamento no afecta al Derecho nacional o de la Unión relacionado con la celebración y validez de los contratos u otras obligaciones legales o de procedimiento relativos a la forma.

Artículo 7

Condiciones para la notificación de los sistemas de identificación_electrónica

Un sistema de identificación_electrónica podrá ser objeto de notificación con arreglo al artículo 9, apartado 1, si se cumplen la totalidad de las condiciones siguientes:

a)

que los medios de identificación_electrónica en virtud del sistema de identificación_electrónica hayan sido expedidos: i) por el Estado miembro que efectúa la notificación, ii) por mandato del Estado miembro que efectúa la notificación, o iii) independientemente del Estado miembro que efectúa la notificación y reconocidos por dicho Estado miembro;

b)	que los medios de identificación_electrónica en virtud del sistema de identificación_electrónica puedan usarse para acceder al menos a un servicio prestado por un organismo_del_sector_público que exija la identificación_electrónica en el Estado miembro que efectúa la notificación;

c)	que tanto el sistema de identificación_electrónica como los medios de identificación electrónicos en su virtud expedidos cumplan los requisitos de al menos uno de los niveles de seguridad previstos en el acto de ejecución a que hace referencia el artículo 8, apartado 3;

d)

que el Estado miembro que efectúa la notificación garantice que los datos_de_identificación_de_la_persona que representan en exclusiva a la persona en cuestión se atribuyen de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecido en el acto de ejecución a que se refiere el artículo 8, apartado 3, a la persona física o jurídica a la que se refiere el artículo 3, punto 1, en el momento de expedición de los medios de identificación_electrónica previstos en este sistema;

e)

que la parte que expide los medios de identificación_electrónica previstos en este sistema garantice que los medios de identificación_electrónica se atribuyan a la persona a que se refiere la letra d) del presente artículo de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecidos en el acto de ejecución a que se refiere el artículo 8, apartado 3;

f)

el Estado miembro que efectúa la notificación garantiza la disponibilidad de la autenticación en línea de manera que cualquier parte_usuaria establecida en el territorio de otro Estado miembro pueda confirmar los datos_de_identificación_de_la_persona recibidos en formato electrónico. Para las partes usuarias distintas de los organismos del sector público, el Estado miembro que efectúa la notificación podrá definir las condiciones de acceso a esa autenticación. La autenticación transfronteriza deberá ser gratuita cuando se realice en relación con un servicio en línea prestado por un organismo_del_sector_público. Los estados miembros no impondrán requisitos técnicos específicos desproporcionados a las partes usuarias que tengan intención de llevar a cabo tal autenticación, cuando esos requisitos impidan u obstaculicen significativamente la interoperabilidad de los sistemas de identificación_electrónica notificados;

g)

al menos seis meses antes de la notificación a la que se refiere el artículo 9, apartado 1, el Estado miembro que efectúa la notificación presentará a los demás estados miembros, a efectos de la obligación a que se refiere el artículo 12, apartado 5, una descripción de este sistema, de conformidad con las modalidades de procedimiento establecidas en los actos de ejecución a los que se refiere el artículo 12, apartado 7;

h)	el sistema de identificación_electrónica cumple los requisitos del acto de ejecución a que se refiere el artículo 12, apartado 8.

Artículo 10

Violación de la seguridad

1.   En caso de que el sistema de identificación_electrónica notificado con arreglo al artículo 9, apartado 1, o la autenticación a que se refiere el artículo 7, letra f), hayan sido violados o puestos parcialmente en peligro de una forma que afecte a la fiabilidad de la autenticación transfronteriza de dicho sistema, el Estado miembro que efectúa la notificación suspenderá o revocará sin dilaciones indebidas dicha autenticación transfronteriza o las partes afectadas, e informará al respecto a los demás estados miembros y a la Comisión.

2.   Cuando se haya subsanado la violación o la puesta en peligro a que se refiere el apartado 1, el Estado miembro que efectúa la notificación restablecerá la autenticación transfronteriza e informará sin dilaciones indebidas a los demás estados miembros y a la Comisión.

3.   Si la violación o la puesta en peligro a que se refiere el apartado 1 no se corrige en un plazo de tres meses a partir de la suspensión o revocación, el Estado miembro que efectúa la notificación comunicará la retirada del sistema de identificación_electrónica a los demás estados miembros y a la Comisión.

La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 9, apartado 2, sin dilaciones indebidas.

Artículo 12

Cooperación e interoperabilidad

1.   Los sistemas nacionales de identificación_electrónica notificados de conformidad con el artículo 9, apartado 1, serán interoperables.

2.   A efectos del apartado 1, se establecerá un marco de interoperabilidad.

3.   El marco de interoperabilidad debe cumplir los criterios siguientes:

a)	aspirar a ser neutro desde un punto de vista tecnológico y no discriminar entre soluciones técnicas nacionales específicas para la identificación_electrónica dentro del Estado miembro;

b)	ajustarse a las normas internacionales y europeas, siempre que sea posible;

c)	facilitar la aplicación del principio de privacidad desde el diseño, y

d)	garantizar que los datos personales se procesen con arreglo a la Directiva 95/46/CE.

4.   El marco de interoperabilidad consistirá en lo siguiente:

a)	una referencia a los requisitos técnicos mínimos relativos a los niveles de seguridad contemplados en el artículo 8;

b)	una correlación entre los niveles de seguridad nacionales de los sistemas de identificación_electrónica y los niveles de seguridad contemplados en el artículo 8;

c)	una referencia a los requisitos técnicos mínimos para la interoperabilidad;

d)	una referencia a un conjunto mínimo de datos_de_identificación_de_la_persona que representan de manera única a una persona física o jurídica, y que está disponible en los sistemas de identificación_electrónica;

e)	reglas de procedimiento;

f)	acuerdos para la resolución de litigios, y

g)	normas comunes de seguridad operativa.

5.   Los estados miembros cooperarán con respecto a lo siguiente:

a)	la interoperabilidad de los sistemas de identificación_electrónica notificados con arreglo al artículo 9, apartado 1, y los sistemas de identificación_electrónica que los estados miembros tienen intención de notificar, y

b)	la seguridad de los sistemas de identificación_electrónica.

6.   La cooperación entre estados miembros consistirá en:

a)	un intercambio de información, experiencia y prácticas idóneas sobre sistemas de identificación_electrónica, en particular sobre los requisitos técnicos relacionados con la interoperabilidad y los niveles de seguridad;

b)	un intercambio de información, experiencia y prácticas idóneas sobre el trabajo con los niveles de seguridad de los sistemas de identificación_electrónica contemplados en el artículo 8;

c)	una revisión inter pares de los sistemas de identificación_electrónica que entran en el ámbito de aplicación del presente Reglamento, y

d)	un examen de las novedades pertinentes en el sector de la identificación_electrónica.

7.   A más tardar el 18 de marzo de 2015, la Comisión fijará, mediante actos de ejecución, las modalidades de procedimiento necesarias para facilitar la cooperación entre los estados miembros a que se refieren los apartados 5 y 6, con vistas a fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo.

8.   A más tardar el 18 de septiembre de 2015, a efectos de establecer condiciones uniformes para la ejecución de los requisitos del apartado 1, la Comisión, sin perjuicio de los criterios establecidos en el apartado 3 y teniendo en cuenta los resultados de la cooperación entre estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad tal como se establece en el apartado 4.

9.   Los actos de ejecución a que se refieren los apartados 7 y 8 del presente artículo se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 48, apartado 2.

CAPÍTULO III

SERVICIOS DE CONFIANZA

SECCIÓN 1

Disposiciones generales

Artículo 14

Aspectos internacionales

1.   Los servicios de confianza prestados por los prestadores de servicios de confianza establecidos en un tercer país serán reconocidos como legalmente equivalentes a los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión si los servicios de confianza originarios del tercer país son reconocidos en virtud de un acuerdo celebrado entre la Unión y el tercer país en cuestión u organizaciones internacionales de conformidad con el artículo 218 del TFUE.

2.   Los acuerdos a que se refiere el apartado 1 garantizarán, en particular, que:

a)

los prestadores de servicios de confianza de terceros países u organizaciones internacionales con los que se celebren acuerdos y los servicios de confianza que prestan cumplen los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en la Unión y a los servicios de confianza cualificados que prestan;

b)

los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión son reconocidos como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios en terceros países u organizaciones internacionales con los que se celebran acuerdos.

Artículo 15

Accesibilidad para las personas con discapacidad

Siempre que sea factible, los servicios de confianza prestados y los productos para el usuario final utilizados en la prestación de estos servicios deberán ser accesibles para las personas con discapacidad.

Artículo 16

Sanciones

Los estados miembros establecerán normas relativas a las sanciones aplicables a las infracciones del presente Reglamento. Las sanciones previstas serán eficaces, proporcionadas y disuasorias.

SECCIÓN 2

Supervisión

Artículo 17

Organismo de supervisión

1.   Los estados miembros designarán un organismo de supervisión establecido en su territorio o, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en otro Estado miembro. Dicho organismo será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación.

Los organismos de supervisión disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones.

2.   Los estados miembros notificarán a la Comisión los nombres y direcciones de sus respectivos organismos de supervisión designados.

3.   Las funciones del organismo de supervisión serán las siguientes:

a)

supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa a fin de garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el presente Reglamento;

b)

adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando reciba la información de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos, supuestamente no cumplen los requisitos establecidos en el presente Reglamento.

4.   Para los fines del apartado 3, y con sujeción a las limitaciones establecidas en el mismo, las funciones del organismo de supervisión incluirá, en particular:

a)	cooperar con otros organismos y prestarles asistencia de conformidad con el artículo 18;

b)	analizar los informes de evaluación de la conformidad a que se refieren el artículo 20, apartado 1, y el artículo 21, apartado 1;

c)	informar a otros organismos de supervisión y al público de la violación de seguridad o la pérdida de integridad, de conformidad con el artículo 19, apartado 2;

d)	informar a la Comisión de sus actividades principales de conformidad con el apartado 6 del presente artículo;

e)	realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, con arreglo al artículo 20, apartado 2;

f)	cooperar con las autoridades de protección de datos, en particular, informándoles, sin demora indebida, de los resultados de las auditorías de los prestadores cualificados de servicios de confianza, en caso de posible infracción de las normas sobre protección de datos personales;

g)	conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar esta cualificación, con arreglo a los artículos 20 y 21;

h)	comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 22, apartado 3, de su decisión de conceder o retirar la cualificación, salvo si dicho organismo es también el organismo de supervisión;

i)	verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, con arreglo al artículo 24, apartado 2, letra h);

j)	requerir que los prestadores de servicios de confianza corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento.

5.   Los estados miembros podrán disponer que el organismo de supervisión establezca, mantenga y actualice una infraestructura de confianza de conformidad con las condiciones establecidas en la legislación nacional.

6.   A más tardar el 31 de marzo de cada año, cada organismo de supervisión presentará a la Comisión un informe sobre sus actividades principales del año civil precedente junto con un resumen de las notificaciones de violación recibidas de los prestadores de servicios de confianza, de conformidad con el artículo 19, apartado 2.

7.   La Comisión pondrá a disposición de los estados miembros el informe anual a que se refiere el apartado 6.

8.   La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos relativos al informe a que se refiere el apartado 6. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 18

Asistencia mutua

1.   Los organismos de supervisión cooperarán con vistas a intercambiar prácticas idóneas.

Un organismo de supervisión, previa solicitud justificada de otro organismo de supervisión, deberá prestar asistencia a dicho organismo con el fin de que las actividades de los organismos de supervisión pueden realizarse en forma coherente. La asistencia mutua podrá incluir, en particular, las solicitudes de información y las medidas de supervisión, tales como las peticiones para que se lleven a cabo inspecciones en relación con los informes de evaluación de la conformidad a que se refieren los artículos 20 y 21.

2.   El organismo de supervisión al que se haya dirigido una solicitud de asistencia podrá denegar dicha solicitud por alguno de los motivos siguientes:

a)	el organismo de supervisión no es competente para prestar la asistencia solicitada;

b)	la asistencia solicitada no guarda proporción con las actividades de supervisión del organismo de supervisión realizadas de conformidad con el artículo 17;

c)	la prestación de la asistencia solicitada sería incompatible con el presente Reglamento.

3.   Cuando proceda, los estados miembros podrán autorizar a sus respectivos organismos de supervisión para que lleven a cabo investigaciones conjuntas con participación de personal de los organismos de supervisión de otros estados miembros. Los acuerdos y procedimientos para dichas actividades conjuntas serán aprobadas y establecidas por los estados miembros de que se trate de conformidad con sus legislaciones nacionales.

Artículo 19

Requisitos de seguridad aplicables a los prestadores de servicios de confianza

1.   Los prestadores cualificados y no cualificados de servicios de confianza adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de seguridad proporcionado al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.

2.   Los prestadores cualificados y no cualificados de servicios de confianza, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y, en caso pertinente, a otros organismo relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio_de_confianza prestado o en los datos personales correspondientes.

Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio_de_confianza, el prestador_de_servicios_de_confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.

Cuando proceda, en particular si una violación de la seguridad o pérdida de la integridad afecta a dos o más estados miembros, el organismo de supervisión notificado informará al respecto a los organismos de supervisión de los demás estados miembros de que se trate y a la ENISA.

El organismo de supervisión notificado informará al público o exigirá al prestador_de_servicios_de_confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste interés público.

3.   El organismo de supervisión facilitará a la ENISA anualmente un resumen de las notificaciones de violación de la seguridad y pérdida de la integridad recibidas de los prestadores de servicios de confianza.

4.   La Comisión podrá, mediante actos de ejecución, establecer:

a)	una mayor especificación de las medidas a que se refiere el apartado 1, y

b)	la definición de los formatos y procedimientos, incluidos los plazos, aplicables a efectos del apartado 2.

Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 3

Servicios de confianza cualificados

Artículo 22

Listas de confianza

1.   Cada Estado miembro establecerá, mantendrá y publicará listas de confianza con información relativa a los prestadores cualificados de servicios de confianza con respecto a los cuales sea responsable, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos.

2.   Los estados miembros establecerán, mantendrán y publicarán, de manera segura, las listas de confianza firmadas o selladas electrónicamente a que se refiere el apartado 1 en una forma apropiada para el tratamiento automático.

3.   Los estados miembros notificarán a la Comisión, sin retrasos indebidos, información sobre el organismo responsable del establecimiento, mantenimiento y publicación de las listas de confianza nacionales, y detalles relativos al lugar en que se publican dichas listas, los certificados utilizados para firmar o sellar las listas de confianza y cualquier modificación de los mismos.

4.   La Comisión pondrá a disposición del público, a través de un canal seguro, la información a que se refiere el apartado 3 en una forma firmada o sellada electrónicamente apropiada para el tratamiento automático.

5.   A más tardar el 18 de septiembre de 2015 la Comisión, mediante actos de ejecución, especificará la información a que se refiere el apartado 1 y definirá las especificaciones técnicas y formatos de las listas de confianza, aplicables a efectos de los apartados 1 a 4. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 25

Efectos jurídicos de las firmas electrónicas

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma_electrónica por el mero hecho de ser una firma_electrónica o porque no cumpla los requisitos de la firma_electrónica cualificada.

2.   Una firma_electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3.   Una firma_electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma_electrónica cualificada en todos los demás estados miembros.

Artículo 27

Firmas electrónicas en servicios públicos

1.   Si un Estado miembro requiere una firma_electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firma_electrónica y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere una firma_electrónica avanzada basada en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los estados miembros no exigirán para la utilización transfronteriza de un servicio en línea ofrecido por un organismo_del_sector_público una firma_electrónica cuyo nivel de garantía de la seguridad sea superior al de una firma_electrónica cualificada.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos de las firmas electrónicas avanzadas mencionadas en los apartados 1 y 2 del presente artículo y en el artículo 26 cuando una firma_electrónica avanzada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 28

Certificados cualificados de firma_electrónica

1.   Los certificados cualificados de firma_electrónica cumplirán los requisitos establecidos en el anexo I.

2.   Los certificados cualificados de firma_electrónica no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el anexo I.

3.   Los certificados cualificados de firmas electrónicas podrán incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y el reconocimiento de las firmas electrónicas cualificadas.

4.   Si un certificado cualificado de firma_electrónica ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5.   Según las condiciones que siguen, los estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de firma_electrónica:

a)	Si un certificado cualificado de firma_electrónica ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.

b)	El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.

6.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los certificados cualificados de firma_electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando un certificado cualificado de firma_electrónica se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 30

Certificación de los dispositivos cualificados de creación de firmas electrónicas

1.   La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los estados miembros.

2.   Los estados miembros notificarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1. La Comisión pondrá la información a disposición de los estados miembros.

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a)	un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o

b)

un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

4.   La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 47, en lo que respecta al establecimiento de criterios específicos que deben satisfacer los organismos designados a que se refiere el apartado 1 del presente artículo.

Artículo 31

Publicación de una lista de dispositivos cualificados de creación de firmas electrónicas certificados

1.   Los estados miembros comunicarán a la Comisión, sin retrasos indebidos y no más tarde de un mes después de que haya concluido la certificación, información sobre los dispositivos cualificados de creación de firmas electrónicas que hayan sido certificados por los organismos a que se refiere el artículo 30, apartado 1. También notificarán a la Comisión, sin retrasos indebidos y no más tarde de un mes después de que haya expirado la certificación, información sobre los dispositivos de creación de firmas electrónicas que hayan dejado de estar certificados.

2.   Sobre la base de la información recibida, la Comisión establecerá, publicará y mantendrá una lista de dispositivos cualificados de creación de firmas electrónicas certificados.

3.   La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos aplicables a efectos del apartado 1. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 35

Efectos jurídicos del sello_electrónico

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello_electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos del sello_electrónico cualificado.

2.   Un sello_electrónico cualificado disfrutará de la presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello_electrónico cualificado esté vinculado.

3.   Un sello_electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello_electrónico cualificado en todos los demás estados miembros.

Artículo 37

Sellos electrónicos en servicios públicos

1.   Si un Estado miembro requiere un sello_electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado reconocido de sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere un sello_electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo_del_sector_público, un sello_electrónico cuyo nivel de seguridad sea superior al de un sello_electrónico cualificado.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el artículo 36 cuando un sello_electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 38

Certificados cualificados de sello_electrónico

1.   Los certificados cualificados de sello_electrónico cumplirán los requisitos establecidos en el anexo III.

2.   Los certificados cualificados de sello_electrónico no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el anexo III.

3.   Los certificados cualificados de sello_electrónico podrán incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y reconocimiento de los sellos electrónicos cualificados.

4.   Si un certificado cualificado de sello_electrónico ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5.   Según las condiciones expuestas a continuación, los estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de sello_electrónico:

a)	Si un certificado cualificado de sello_electrónico ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.

b)	El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.

6.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los certificados cualificados de sello_electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando un certificado cualificado de sello_electrónico se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 41

Efecto jurídico de los sellos de tiempo electrónicos

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello_de_tiempo_electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos de sello_cualificado_de_tiempo_electrónico.

2.   Los sellos cualificados de tiempo electrónicos disfrutarán de una presunción de exactitud de la fecha y hora que indican y de la integridad de los datos a los que la fecha y hora estén vinculadas.

3.   Un sello_cualificado_de_tiempo_electrónico emitido en un Estado miembro será reconocido como sello_cualificado_de_tiempo_electrónico en todos los estados miembros.

Artículo 44

Requisitos de los servicios cualificados de entrega electrónica certificada

1.   Los servicios cualificados de entrega electrónica certificada cumplirán los requisitos siguientes:

a)	ser prestados por uno o más prestadores cualificados de servicios de confianza;

b)	asegurar con un alto nivel de fiabilidad la identificación del remitente;

c)	garantizar la identificación del destinatario antes de la entrega de los datos;

d)	estar protegidos el envío y recepción de datos por una firma_electrónica avanzada o un sello_electrónico avanzado de un prestador_cualificado_de_servicios_de_confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte;

e)	indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos;

f)	indicar mediante un sello_cualificado_de_tiempo_electrónico la fecha y hora de envío, recepción y eventual modificación de los datos.

En caso de que los datos se transfieran entre dos o más prestadores cualificados de servicios de confianza, se aplicarán los requisitos establecidos en las letras a) a f) a todos los prestadores cualificados de servicios de confianza.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los procesos de envío y recepción de datos. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 8

Autenticación de sitios web

Artículo 52

Entrada en vigor

1.   El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.   El presente Reglamento será aplicable a partir del 1 de julio de 2016, a excepción de las disposiciones siguientes:

a)

los artículos 8, apartado 3, 9, apartado 5, 12, apartados 2 a 9, 17, apartado 8, 19, apartado 4, 20, apartado 4, 21, apartado 4, 22, apartado 5, 23, apartado, 3, 24, apartado 5, 27, apartados 4 y 5, 28, apartado 6, 29, apartado 2, 30, apartados 3 y 4, 31, apartado 3, 32, apartado 3, 33, apartado 2, 34, apartado 2, 37, apartados 4 y 5, 38, apartado 6, 42, apartado 2, 44, apartado 2, 45, apartado 2, y los artículos 47 y 48 se aplicarán a partir del 17 de septiembre de 2014;

b)	el artículo 7, el artículo 8, apartados 1 y 2, los artículos 9, 10, 11 y el artículo 12, apartado 1, se aplicarán a partir de la fecha de aplicación de los actos de ejecución previstos en los artículos 8, apartado 3, y 12, apartado 8;

c)	el artículo 6 se aplicará a partir de los tres años de la fecha de aplicación de los actos de ejecución previstos en los artículos 8, apartado 3, y 12, apartado 8.

3.   Cuando el sistema de identificación_electrónica notificado esté incluido en la lista publicada por la Comisión con arreglo al artículo 9 antes de la fecha mencionada en la letra c) del apartado 2 del presente artículo, el reconocimiento de los medios de identificación_electrónica expedidos bajo dicho sistema en virtud del artículo 6 se llevará a cabo a más tardar 12 meses después de la publicación de dicho sistema, pero no antes de la fecha mencionada en la letra c) del apartado 2 del presente artículo.

4.   No obstante lo dispuesto en la letra c) del apartado 2 del presente artículo, un Estado miembro podrá decidir que los medios de identificación_electrónica con arreglo al sistema de identificación_electrónica notificado de conformidad con el artículo 9, apartado 1, por otro Estado miembro se reconozcan en el primer Estado miembro a partir de la fecha de aplicación de los actos de ejecución previstos en los artículos 8, apartado 3, y 12, apartado 8. Los estados miembros de que se trate se lo comunicarán a la Comisión. La Comisión hará pública esa información.

---

(1)  DO C 351 de 15.11.2012, p. 73.

(2)  Posición del Parlamento Europeo y del Consejo de 3 de abril de 2014 (no publicada aún en el Diario Oficial) y Decisión del Consejo de 23 de julio de 2014.

(3)  Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma_electrónica (DO L 13 de 19.1.2000, p. 12).

(4)  DO C 50 de 21.2.2012, p. 1.

(5)  Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior (DO L 376 de 27.12.2006, p. 36).

(6)  Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).

(7)  Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(8)  Decisión 2010/48/CE del Consejo, de 26 de noviembre de 2009, relativa a la celebración, por parte de la Comunidad Europea, de la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad (DO L 23 de 27.1.2010, p. 35).

(9)  Reglamento (CE) no 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) no 339/93 (DO L 218 de 13.8.2008, p. 30).

(10)  Decisión 2009/767/CE de la Comisión, de 16 de octubre de 2009, por la que se adoptan medidas que facilitan el uso de procedimientos por vía electrónica a través de las ventanillas únicas con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior (DO L 274 de 20.10.2009, p. 36).

(11)  Decisión 2011/130/UE de la Comisión, de 25 de febrero de 2011, por la que se establecen los requisitos mínimos para el tratamiento transfronterizo de los documentos firmados electrónicamente por las autoridades competentes en virtud de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior (DO L 53 de 26.2.2011, p. 66).

(12)  Reglamento (UE) no 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(13)  Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(14)  DO C 28 de 30.1.2013, p. 6.

(15)  Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (DO L 94 de 28.3.2014, p. 65).

---

---

---

---