EIDAS 2014/0910 ES

1)	« identificación_electrónica», el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica;

2)	«medios de identificación_electrónica», una unidad material y/o inmaterial que contiene los datos de identificación de una persona y que se utiliza para la autenticación en servicios en línea;

3)	« datos_de_identificación_de_la_persona», un conjunto de datos que permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica;

4)	«sistema de identificación_electrónica», un régimen para la identificación_electrónica en virtud del cual se expiden medios de identificación_electrónica a las personas físicas o jurídicas o a una persona física que representa a una persona jurídica;

5)	« autenticación», un proceso electrónico que posibilita la identificación_electrónica de una persona física o jurídica, o del origen y la integridad de datos en formato electrónico;

6)	« parte_usuaria», la persona física o jurídica que confía en la identificación_electrónica o el servicio_de_confianza;

« organismo_del_sector_público», las autoridades estatales, regionales o locales, los organismos de Derecho público y las asociaciones formadas por una o varias de estas autoridades o uno o varios de estos organismos de Derecho público, o las entidades privadas mandatarias de al menos una de estas autoridades, organismos o asociaciones para prestar servicios públicos actuando en esa calidad;

8)	« organismo_de_Derecho_público», el definido en el artículo 2, apartado 1, punto 4, de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo (15);

9)	« firmante», una persona física que crea una firma_electrónica;

10)	« firma_electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar;

11)	« firma_electrónica avanzada», la firma_electrónica que cumple los requisitos contemplados en el artículo 26;

12)	« firma_electrónica cualificada», una firma_electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma_electrónica;

13)	«datos de creación de la firma_electrónica», los datos únicos que utiliza el firmante para crear una firma_electrónica;

14)	«certificado de firma_electrónica», una declaración electrónica que vincula los datos_de_ validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona;

15)	«certificado cualificado de firma_electrónica», un certificado de firma_electrónica que ha sido expedido por un prestador_cualificado_de_servicios_de_confianza y que cumple los requisitos establecidos en el anexo I;

16)

« servicio_de_confianza», el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en:

a)	la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o

b)	la creación, verificación y validación de certificados para la autenticación de sitios web, o

c)	la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios;

17)	« servicio_de_confianza cualificado», un servicio_de_confianza que cumple los requisitos aplicables establecidos en el presente Reglamento;

18)

« organismo_de_evaluación_de_conformidad», un organismo definido en el punto 13 del artículo 2 del Reglamento (CE) no 765/2008 cuya competencia para realizar una evaluación de conformidad de un prestador_cualificado_de_servicios_de_confianza y de los servicios de confianza cualificados que este presta esté acreditada en virtud de dicho Reglamento;

19)	« prestador_de_servicios_de_confianza», una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianzas;

20)	« prestador_cualificado_de_servicios_de_confianza», un prestador_de_servicios_de_confianza que presta uno o varios servicios de confianza cualificados y al que el organismo de supervisión ha concedido la cualificación;

21)	« producto», un equipo o programa informático, o los componentes pertinentes del mismo, destinado a ser utilizado para la prestación de servicios de confianza;

22)	«dispositivo de creación de firma_electrónica», un equipo o programa informático configurado que se utiliza para crear una firma_electrónica;

23)	«dispositivo cualificado de creación de firma_electrónica», un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II;

24)	« creador_de_un_sello», una persona jurídica que crea un sello_electrónico;

25)	« sello_electrónico», datos en formato electrónico anejos a otros datos en formato electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de estos últimos;

26)	« sello_electrónico avanzado», un sello_electrónico que cumple los requisitos contemplados en el artículo 36;

27)	« sello_electrónico cualificado», un sello_electrónico avanzado que se crea mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello_electrónico;

28)	«datos de creación del sello_electrónico», los datos únicos que utiliza el creador del sello_electrónico para crearlo;

29)	«certificado de sello_electrónico», una declaración electrónica que vincula los datos_de_ validación de un sello con una persona jurídica y confirma el nombre de esa persona;

30)	«certificado cualificado de sello_electrónico», un certificado de sellos electrónicos que ha sido expedido por un prestador_cualificado_de_servicios_de_confianza y que cumple los requisitos establecidos en el anexo III;

31)	«dispositivo de creación de sello_electrónico», un equipo o programa informático configurado que se utiliza para crear un sello_electrónico;

32)	«dispositivo cualificado de creación de sello_electrónico», un dispositivo de creación de sellos electrónicos que cumple mutatis mutandis los requisitos enumerados en el anexo II;

33)	« sello_de_tiempo_electrónico», datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante;

34)	« sello_cualificado_de_tiempo_electrónico», un sello_de_tiempo_electrónico que cumple los requisitos establecidos en el artículo 42;

35)	« documento_electrónico», todo contenido almacenado en formato electrónico, en particular, texto o registro sonoro, visual o audiovisual;

36)

« servicio_de_entrega_electrónica_certificada», un servicio que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizada;

37)	« servicio_cualificado_de_entrega_electrónica_certificada», un servicio_de_entrega_electrónica_certificada que cumple los requisitos establecidos en el artículo 44;

38)	«certificado de autenticación de sitio web», una declaración que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;

39)	«certificado cualificado de autenticación de sitio web», un certificado de autenticación de sitio web expedido por un prestador_cualificado_de_servicios_de_confianza y que cumple los requisitos establecidos en el anexo IV;

40)	« datos_de_ validación», los datos utilizados para validar una firma_electrónica o un sello_electrónico;

41)	« validación», el proceso de verificar y confirmar la validez de una firma o sello_electrónicos.

Artículo 17

Organismo de supervisión

1. Los Estados miembros designarán un organismo de supervisión establecido en su territorio o, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en otro Estado miembro. Dicho organismo será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación.

Los organismos de supervisión disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones.

2. Los Estados miembros notificarán a la Comisión los nombres y direcciones de sus respectivos organismos de supervisión designados.

3. Las funciones del organismo de supervisión serán las siguientes:

supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa a fin de garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el presente Reglamento;

adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando reciba la información de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos, supuestamente no cumplen los requisitos establecidos en el presente Reglamento.

4. Para los fines del apartado 3, y con sujeción a las limitaciones establecidas en el mismo, las funciones del organismo de supervisión incluirá, en particular:

a)	cooperar con otros organismos y prestarles asistencia de conformidad con el artículo 18;

b)	analizar los informes de evaluación de la conformidad a que se refieren el artículo 20, apartado 1, y el artículo 21, apartado 1;

c)	informar a otros organismos de supervisión y al público de la violación de seguridad o la pérdida de integridad, de conformidad con el artículo 19, apartado 2;

d)	informar a la Comisión de sus actividades principales de conformidad con el apartado 6 del presente artículo;

e)	realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, con arreglo al artículo 20, apartado 2;

f)	cooperar con las autoridades de protección de datos, en particular, informándoles, sin demora indebida, de los resultados de las auditorías de los prestadores cualificados de servicios de confianza, en caso de posible infracción de las normas sobre protección de datos personales;

g)	conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar esta cualificación, con arreglo a los artículos 20 y 21;

h)	comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 22, apartado 3, de su decisión de conceder o retirar la cualificación, salvo si dicho organismo es también el organismo de supervisión;

i)	verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, con arreglo al artículo 24, apartado 2, letra h);

j)	requerir que los prestadores de servicios de confianza corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento.

5. Los Estados miembros podrán disponer que el organismo de supervisión establezca, mantenga y actualice una infraestructura de confianza de conformidad con las condiciones establecidas en la legislación nacional.

6. A más tardar el 31 de marzo de cada año, cada organismo de supervisión presentará a la Comisión un informe sobre sus actividades principales del año civil precedente junto con un resumen de las notificaciones de violación recibidas de los prestadores de servicios de confianza, de conformidad con el artículo 19, apartado 2.

7. La Comisión pondrá a disposición de los Estados miembros el informe anual a que se refiere el apartado 6.

8. La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos relativos al informe a que se refiere el apartado 6. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 18

Asistencia mutua

1. Los organismos de supervisión cooperarán con vistas a intercambiar prácticas idóneas.

Un organismo de supervisión, previa solicitud justificada de otro organismo de supervisión, deberá prestar asistencia a dicho organismo con el fin de que las actividades de los organismos de supervisión pueden realizarse en forma coherente. La asistencia mutua podrá incluir, en particular, las solicitudes de información y las medidas de supervisión, tales como las peticiones para que se lleven a cabo inspecciones en relación con los informes de evaluación de la conformidad a que se refieren los artículos 20 y 21.

2. El organismo de supervisión al que se haya dirigido una solicitud de asistencia podrá denegar dicha solicitud por alguno de los motivos siguientes:

a)	el organismo de supervisión no es competente para prestar la asistencia solicitada;

b)	la asistencia solicitada no guarda proporción con las actividades de supervisión del organismo de supervisión realizadas de conformidad con el artículo 17;

c)	la prestación de la asistencia solicitada sería incompatible con el presente Reglamento.

3. Cuando proceda, los Estados miembros podrán autorizar a sus respectivos organismos de supervisión para que lleven a cabo investigaciones conjuntas con participación de personal de los organismos de supervisión de otros Estados miembros. Los acuerdos y procedimientos para dichas actividades conjuntas serán aprobadas y establecidas por los Estados miembros de que se trate de conformidad con sus legislaciones nacionales.

Artículo 21

Inicio de un servicio_de_confianza cualificado

1. Cuando los prestadores de servicios de confianza, sin cualificación, tengan intención de iniciar la prestación de servicios de confianza cualificados, presentarán al organismo de supervisión una notificación de su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad.

2. El organismo de supervisión verificará si el prestador_de_servicios_de_confianza y los servicios de confianza que presta cumplen los requisitos establecidos en el presente Reglamento, y en particular, los requisitos establecidos para los prestadores cualificados de servicios de confianza y para los servicios de confianza cualificados que estos prestan.

Si el organismo de supervisión concluye que el prestador_de_servicios_de_confianza y los servicios de confianza que este presta cumplen los requisitos a que se refiere el párrafo primero, el organismo de supervisión concederá la cualificación al prestador_de_servicios_de_confianza y a los servicios de confianza que este presta y lo comunicará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualizar las listas de confianza a que se refiere el artículo 22, apartado 1, a más tardar tres meses después de la notificación de conformidad con el apartado 1 del presente artículo.

Si la verificación no ha concluido en el plazo de tres meses, el organismo de supervisión informará al prestador_de_servicios_de_confianza especificando los motivos de la demora y el plazo previsto para concluir la verificación.

3. Los prestadores cualificados de servicios de confianza podrán comenzar a prestar el servicio_de_confianza cualificado una vez que la cualificación haya sido indicada en las listas de confianza a que se refiere el artículo 22, apartado 1.

4. La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos a efectos de los apartados 1 y 2. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 24

Requisitos para los prestadores cualificados de servicios de confianza

1. Al expedir un certificado cualificado para un servicio_de_confianza, un prestador_cualificado_de_servicios_de_confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador_de_servicios_de_confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

a)	en presencia de la persona física o de un representante autorizado de la persona jurídica, o

a distancia, utilizando medios de identificación_electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c)	por medio de un certificado de una firma_electrónica cualificada o de un sello_electrónico cualificado expedido de conformidad con la letra a) o b), o

d)	utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

2. Los prestadores cualificados de servicios de confianza que prestan servicios de confianza cualificados:

a)	informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados, y de su intención de cesar tales actividades;

contarán con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de protección de datos personales y que apliquen procedimientos administrativos y de gestión que correspondan a normas europeas o internacionales;

c)	con respecto al riesgo de la responsabilidad por daños y perjuicios de conformidad con el artículo 13, mantendrán recursos financieros suficientes u obtendrán pólizas de seguros de responsabilidad adecuadas, de conformidad con la legislación nacional;

d)	antes de entrar en una relación contractual, informarán, de manera clara y comprensible, a cualquier persona que desee utilizar un servicio_de_confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;

e)	utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustentan;

utilizarán sistemas fiables para almacenar los datos que se les faciliten de forma verificable, de modo que:

i)	estén a disposición del público para su recuperación solo cuando se haya obtenido el consentimiento de la persona a la que corresponden los datos,

ii)	solo personas autorizadas puedan hacer anotaciones y modificaciones en los datos almacenados,

iii)	pueda comprobarse la autenticidad de los datos;

g)	tomarán medidas adecuadas contra la falsificación y el robo de datos;

registrarán y mantendrán accesible durante un período de tiempo apropiado, incluso cuando hayan cesado las actividades del prestador_cualificado_de_servicios_de_confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador_cualificado_de_servicios_de_confianza, en particular al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;

i)	contarán con un plan de cese actualizado para garantizar la continuidad del servicio, de conformidad con las disposiciones verificadas por el organismo de supervisión con arreglo al artículo 17, apartado 4, letra i);

j)	garantizarán un tratamiento lícito de los datos personales de conformidad con la Directiva 95/46/CE;

k)	en caso de los prestadores cualificados de servicios de confianza que expidan certificados cualificados, establecerán y mantendrán actualizada una base de datos de certificados.

3. Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registrarán su revocación en su base de datos de certificados y publicarán el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de 24 horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.

4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte_usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.

5. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para sistemas y productos fiables que cumplan con los requisitos establecidos las letras e) y f) del apartado 2 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando los sistemas y productos fiables cumplan dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 4

Firma electrónica

Artículo 26

Requisitos para firmas electrónicas avanzadas

Una firma_electrónica avanzada cumplirá los requisitos siguientes:

a)	estar vinculada al firmante de manera única;

b)	permitir la identificación del firmante;

c)	haber sido creada utilizando datos de creación de la firma_electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d)	estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Artículo 28

Certificados cualificados de firma_electrónica

1. Los certificados cualificados de firma_electrónica cumplirán los requisitos establecidos en el anexo I.

2. Los certificados cualificados de firma_electrónica no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el anexo I.

3. Los certificados cualificados de firmas electrónicas podrán incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y el reconocimiento de las firmas electrónicas cualificadas.

4. Si un certificado cualificado de firma_electrónica ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5. Según las condiciones que siguen, los Estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de firma_electrónica:

a)	Si un certificado cualificado de firma_electrónica ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.

b)	El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.

6. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los certificados cualificados de firma_electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando un certificado cualificado de firma_electrónica se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 30

Certificación de los dispositivos cualificados de creación de firmas electrónicas

1. La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

2. Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1. La Comisión pondrá la información a disposición de los Estados miembros.

3. La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a)	un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o

un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

4. La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 47, en lo que respecta al establecimiento de criterios específicos que deben satisfacer los organismos designados a que se refiere el apartado 1 del presente artículo.

Artículo 31

Publicación de una lista de dispositivos cualificados de creación de firmas electrónicas certificados

1. Los Estados miembros comunicarán a la Comisión, sin retrasos indebidos y no más tarde de un mes después de que haya concluido la certificación, información sobre los dispositivos cualificados de creación de firmas electrónicas que hayan sido certificados por los organismos a que se refiere el artículo 30, apartado 1. También notificarán a la Comisión, sin retrasos indebidos y no más tarde de un mes después de que haya expirado la certificación, información sobre los dispositivos de creación de firmas electrónicas que hayan dejado de estar certificados.

2. Sobre la base de la información recibida, la Comisión establecerá, publicará y mantendrá una lista de dispositivos cualificados de creación de firmas electrónicas certificados.

3. La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos aplicables a efectos del apartado 1. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 33

Servicio de validación cualificado de firmas electrónicas cualificadas

1. Solo podrá prestar un servicio de validación cualificado de firmas electrónicas cualificadas el prestador_cualificado_de_servicios_de_confianza que:

a)	realice la validación de conformidad con el artículo 32, apartado 1, y

b)	permita que las partes usuarias reciban el resultado del proceso de validación de una manera automatizada que sea fiable, eficiente e incluya la firma_electrónica avanzada o el sello_electrónico avanzado del prestador cualificado de servicio de validación.

2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio de validación cualificado a que se refiere el apartado 1. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma_electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 34

Servicio cualificado de conservación de firmas electrónicas cualificadas

1. Solo podrá prestar un servicio cualificado de conservación de firmas electrónicas cualificadas el prestador_cualificado_de_servicios_de_confianza que utilice procedimientos y tecnologías capaces de ampliar la fiabilidad de los datos de la firma_electrónica cualificada más allá del período de validez tecnológico.

2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio cualificado de conservación de firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas se ajusten a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 5

Sellos electrónicos

Artículo 35

Efectos jurídicos del sello_electrónico

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello_electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos del sello_electrónico cualificado.

2. Un sello_electrónico cualificado disfrutará de la presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello_electrónico cualificado esté vinculado.

3. Un sello_electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello_electrónico cualificado en todos los demás Estados miembros.

Artículo 36

Requisitos para los sellos electrónicos avanzados

Un sello_electrónico avanzado cumplirá los requisitos siguientes:

a)	estar vinculado al creador del sello de manera única;

b)	permitir la identificación del creador del sello;

c)	haber sido creado utilizando datos de creación del sello_electrónico que el creador del sello puede utilizar para la creación de un sello_electrónico, con un alto nivel de confianza, bajo su control exclusivo, y

d)	estar vinculado con los datos a que se refiere de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Artículo 38

Certificados cualificados de sello_electrónico

1. Los certificados cualificados de sello_electrónico cumplirán los requisitos establecidos en el anexo III.

2. Los certificados cualificados de sello_electrónico no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el anexo III.

3. Los certificados cualificados de sello_electrónico podrán incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y reconocimiento de los sellos electrónicos cualificados.

4. Si un certificado cualificado de sello_electrónico ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5. Según las condiciones expuestas a continuación, los Estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de sello_electrónico:

a)	Si un certificado cualificado de sello_electrónico ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.

b)	El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.

6. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los certificados cualificados de sello_electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando un certificado cualificado de sello_electrónico se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 41

Efecto jurídico de los sellos de tiempo electrónicos

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello_de_tiempo_electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos de sello_cualificado_de_tiempo_electrónico.

2. Los sellos cualificados de tiempo electrónicos disfrutarán de una presunción de exactitud de la fecha y hora que indican y de la integridad de los datos a los que la fecha y hora estén vinculadas.

3. Un sello_cualificado_de_tiempo_electrónico emitido en un Estado miembro será reconocido como sello_cualificado_de_tiempo_electrónico en todos los Estados miembros.

Artículo 44

Requisitos de los servicios cualificados de entrega electrónica certificada

1. Los servicios cualificados de entrega electrónica certificada cumplirán los requisitos siguientes:

a)	ser prestados por uno o más prestadores cualificados de servicios de confianza;

b)	asegurar con un alto nivel de fiabilidad la identificación del remitente;

c)	garantizar la identificación del destinatario antes de la entrega de los datos;

d)	estar protegidos el envío y recepción de datos por una firma_electrónica avanzada o un sello_electrónico avanzado de un prestador_cualificado_de_servicios_de_confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte;

e)	indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos;

f)	indicar mediante un sello_cualificado_de_tiempo_electrónico la fecha y hora de envío, recepción y eventual modificación de los datos.

En caso de que los datos se transfieran entre dos o más prestadores cualificados de servicios de confianza, se aplicarán los requisitos establecidos en las letras a) a f) a todos los prestadores cualificados de servicios de confianza.

2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los procesos de envío y recepción de datos. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 8

Autenticación de sitios web

Artículo 46

Efectos jurídicos de los documentos electrónicos

No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento_electrónico por el mero hecho de estar en formato electrónico.

CAPÍTULO V

DELEGACIÓN DE PODERES Y DISPOSICIONES DE EJECUCIÓN

Artículo 47

Ejercicio de la delegación

1. Se faculta a la Comisión para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar los actos delegados a que se refiere el artículo 30, apartado 4, se otorgarán a la Comisión para un período indefinido a más tardar el 17 de septiembre de 2014.

3. La delegación de poderes a que se refiere el artículo 30, apartado 4, podrá ser revocada en todo momento por el Parlamento Europeo o el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4. En cuanto la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.

5. Los actos delegados adoptados con arreglo al artículo 30, apartado 4, entrarán en vigor únicamente en caso de que ni el Parlamento Europeo ni el Consejo hayan manifestado objeción alguna en un plazo de dos meses a partir de la notificación de dicho acto a ambas instituciones o en caso de que, antes de que expire dicho plazo, el Parlamento Europeo y el Consejo hayan informado a la Comisión de que no manifestarán objeción alguna. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 48

Procedimiento de comité

1. La Comisión estará asistida por un comité. El comité será conforme a lo dispuesto en el Reglamento (UE) no 182/2011.

2. En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) no 182/2011.

CAPÍTULO VI

DISPOSICIONES FINALES

whereas

(13) Los Estados miembros deben seguir siendo libres de utilizar o introducir, a efectos de identificación_electrónica, medios de acceder a los servicios en línea.
También deben poder decidir si interviene o no el sector privado en la prestación de estos medios.
Los Estados miembros no deben estar obligados a notificar sus sistemas de identificación_electrónica a la Comisión.
Corresponde a los Estados miembros decidir si notifican todos, algunos o ninguno de los sistemas de identificación_electrónica utilizados a nivel nacional para el acceso al menos a los servicios públicos en línea o a servicios específicos.

- = -

(14) Deben establecerse en el presente Reglamento ciertas condiciones en relación con qué medios de identificación_electrónica tienen que reconocerse y cómo deben notificarse los sistemas.
Esto contribuiría a que cada Estado miembro adquiera la confianza necesaria en los sistemas de identificación_electrónica de los demás y a que se reconozcan mutuamente los medios de identificación_electrónica de los sistemas notificados.
Debe aplicarse el principio de reconocimiento mutuo si el sistema de identificación_electrónica del Estado miembro que efectúa la notificación cumple las condiciones de notificación y esta se ha publicado en el Diario Oficial de la Unión Europea.
Sin embargo, el principio de reconocimiento mutuo debe referirse únicamente a la autenticación a efectos de un servicio en línea.
El acceso a estos servicios en línea y su prestación final al solicitante deben estar estrechamente vinculados al derecho a recibir dichos servicios en las condiciones fijadas por la legislación nacional.

- = -

(17) Los Estados miembros deben fomentar que el sector privado utilice voluntariamente los medios de identificación_electrónica amparados en un sistema notificado a efectos de identificación cuando sea necesario para servicios en línea o transacciones electrónicas.
La posibilidad de utilizar estos medios de identificación_electrónica permitiría al sector privado recurrir a una identificación y autenticación electrónicas ampliamente utilizadas ya en muchos Estados miembros, al menos para los servicios públicos, y facilitar el acceso de las empresas y los ciudadanos a sus servicios en línea a través de las fronteras.
Para facilitar el uso por parte del sector privado de tales medios de identificación_electrónica a través de las fronteras, debe estar disponible la posibilidad de autenticación ofrecida por cualquier Estado miembro para las partes usuarias del sector privado establecidas fuera del territorio de dicho Estado miembro en las mismas condiciones aplicadas a las partes usuarias del sector privado establecidas dentro de dicho Estado miembro.
Por consiguiente, por lo que respecta a las partes usuarias del sector privado, el Estado miembro que efectúa la notificación podrá definir condiciones de acceso a los medios de autenticación.
Dichas condiciones de acceso podrán informar de si en un momento dado los medios de autenticación relacionados con el sistema notificado están disponibles para las partes usuarias del sector privado.

- = -

(21) El presente Reglamento también debe establecer un marco jurídico general para la utilización de los servicios de confianza.
Sin embargo, no debe crear la obligación general de utilizarlos ni de instalar un punto de acceso para todos los servicios de confianza existentes.
En particular, no debe cubrir la prestación de servicios utilizados exclusivamente dentro de sistemas cerrados entre un conjunto definido de participantes, que no tengan efectos en terceros.
Por ejemplo, los sistemas establecidos en empresas o administraciones públicas para gestionar procedimientos internos que hagan uso de servicios de confianza no deben estar sujetos a las obligaciones del presente Reglamento. Únicamente los servicios de confianza prestados al público que tengan efectos en terceros deben cumplir las obligaciones establecidas en el presente Reglamento.
Tampoco debe regular el presente Reglamento los aspectos relacionados con la celebración y validez de los contratos u otras obligaciones legales cuando existan requisitos de forma establecidos por el Derecho nacional o de la Unión.
Por otro lado, no debe afectar a los requisitos nacionales de formato correspondientes a los registros públicos, en particular los registros mercantiles y de la propiedad.

- = -

(35) Todos los prestadores de servicios de confianza deben estar sometidos a los requisitos del presente Reglamento, en particular en materia de seguridad y responsabilidad, para garantizar la debida diligencia, la transparencia y la rendición de cuentas en relación con sus operaciones y servicios.
No obstante, teniendo en cuenta el tipo de servicios prestados por los prestadores de servicios de confianza, es conveniente distinguir, en la medida en que se refiere a estos requisitos, entre prestadores cualificados y no cualificados de servicios de confianza.

- = -

(36) El establecimiento de un régimen de supervisión de todos los prestadores de servicios de confianza debe garantizar unas condiciones de igualdad en cuanto a la seguridad y la rendición de cuentas en relación con sus operaciones y servicios, contribuyendo así a la protección de los usuarios y al funcionamiento del mercado interior.
Los prestadores no cualificados de servicios de confianza deben estar sujetos a un tipo de supervisión ligera, reactiva y posterior y justificada en función de la naturaleza de sus servicios y operaciones.
Por consiguiente, el organismo de supervisión no debe tener la obligación general de supervisar a los prestadores no cualificados de servicios.
El organismo de supervisión debe actuar únicamente cuando se le informe (por ejemplo, por parte del propio prestador no cualificado de servicios de confianza, mediante notificación de un usuario o de un socio comercial, o a través de sus propias investigaciones) de que un prestador no cualificado de servicios de confianza no cumple los requisitos del presente Reglamento.

- = -

(54) La interoperabilidad y el reconocimiento transfronterizos de los certificados cualificados es un requisito previo para el reconocimiento transfronterizo de las firmas electrónicas cualificadas.
Por consiguiente, los certificados cualificados no deben estar sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el presente Reglamento.
No obstante, en el plano nacional debe permitirse la inclusión de atributos específicos, por ejemplo identificadores únicos, en los certificados cualificados, a condición de que tales atributos específicos no comprometan la interoperabilidad y el reconocimiento transfronterizos de los certificados y las firmas electrónicas cualificados.

- = -

(55) La certificación de seguridad TI basada en normas internacionales (como ISO 15408 y métodos relacionados de evaluación y acuerdos de reconocimiento mutuo) es un importante instrumento para verificar la seguridad de dispositivos cualificados de creación de firmas electrónicas y debe fomentarse.
Con todo, las soluciones y servicios innovadores (como la firma móvil, la firma en nube, etc.) se basan en soluciones técnicas y organizativas de dispositivos cualificados de creación de firmas electrónicas para las que puede no disponerse todavía de normas de seguridad o para las que puede estar en curso la primera certificación de seguridad TI.
El nivel de seguridad de dichos dispositivos cualificados de creación de firmas electrónicas debe poder evaluarse mediante procesos alternativos únicamente cuando no se disponga todavía de normas de seguridad o para las que pueda estar en curso la primera certificación de seguridad TI.
Dichos procesos deben ser comparables con las normas de certificación de seguridad TI en la medida en que sean equivalentes los niveles de seguridad.
Estos procesos podrán facilitarse mediante un examen por homólogos.

- = -

(63) Los documentos electrónicos son importantes para que sigan desarrollándose las transacciones electrónicas transfronterizas en el mercado interior.
El presente Reglamento debe establecer el principio de que no se deben denegar efectos jurídicos a un documento_electrónico por el mero hecho de estar en formato electrónico al objeto de garantizar que no se rechazará una transacción electrónica por el mero hecho de que el documento está en formato electrónico.

- = -

keyboard_tab EIDAS 2014/0910 ES

EIDAS 2014/0910 ES