EIDAS 2014/0910 ES

Un sistema de identificación_electrónica podrá ser objeto de notificación con arreglo al artículo 9, apartado 1, si se cumplen la totalidad de las condiciones siguientes:

que los medios de identificación_electrónica en virtud del sistema de identificación_electrónica hayan sido expedidos:

i)	por el Estado miembro que efectúa la notificación,

ii)	por mandato del Estado miembro que efectúa la notificación, o

iii)	independientemente del Estado miembro que efectúa la notificación y reconocidos por dicho Estado miembro;

b)	que los medios de identificación_electrónica en virtud del sistema de identificación_electrónica puedan usarse para acceder al menos a un servicio prestado por un organismo_del_sector_público que exija la identificación_electrónica en el Estado miembro que efectúa la notificación;

c)	que tanto el sistema de identificación_electrónica como los medios de identificación electrónicos en su virtud expedidos cumplan los requisitos de al menos uno de los niveles de seguridad previstos en el acto de ejecución a que hace referencia el artículo 8, apartado 3;

que el Estado miembro que efectúa la notificación garantice que los datos_de_identificación_de_la_persona que representan en exclusiva a la persona en cuestión se atribuyen de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecido en el acto de ejecución a que se refiere el artículo 8, apartado 3, a la persona física o jurídica a la que se refiere el artículo 3, punto 1, en el momento de expedición de los medios de identificación_electrónica previstos en este sistema;

que la parte que expide los medios de identificación_electrónica previstos en este sistema garantice que los medios de identificación_electrónica se atribuyan a la persona a que se refiere la letra d) del presente artículo de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecidos en el acto de ejecución a que se refiere el artículo 8, apartado 3;

el Estado miembro que efectúa la notificación garantiza la disponibilidad de la autenticación en línea de manera que cualquier parte_usuaria establecida en el territorio de otro Estado miembro pueda confirmar los datos_de_identificación_de_la_persona recibidos en formato electrónico.

Para las partes usuarias distintas de los organismos del sector público, el Estado miembro que efectúa la notificación podrá definir las condiciones de acceso a esa autenticación. La autenticación transfronteriza deberá ser gratuita cuando se realice en relación con un servicio en línea prestado por un organismo_del_sector_público.

Los Estados miembros no impondrán requisitos técnicos específicos desproporcionados a las partes usuarias que tengan intención de llevar a cabo tal autenticación, cuando esos requisitos impidan u obstaculicen significativamente la interoperabilidad de los sistemas de identificación_electrónica notificados;

al menos seis meses antes de la notificación a la que se refiere el artículo 9, apartado 1, el Estado miembro que efectúa la notificación presentará a los demás Estados miembros, a efectos de la obligación a que se refiere el artículo 12, apartado 5, una descripción de este sistema, de conformidad con las modalidades de procedimiento establecidas en los actos de ejecución a los que se refiere el artículo 12, apartado 7;

h)	el sistema de identificación_electrónica cumple los requisitos del acto de ejecución a que se refiere el artículo 12, apartado 8.

Artículo 9

notificación

1. El Estado miembro que efectúa la notificación transmitirá a la Comisión la siguiente información y, sin dilaciones indebidas, cualquier modificación posterior de la misma:

a)	una descripción del sistema de identificación_electrónica, que incluya sus niveles de seguridad y el emisor o emisores de los medios de identificación_electrónica en virtud de este sistema;

el régimen de supervisión aplicable y la información sobre el régimen de responsabilidades respecto de:

i)	la parte que expida los medios de identificación_electrónica, y

ii)	la parte que utilice el procedimiento de autenticación;

c)	la autoridad o autoridades responsables del sistema de identificación_electrónica;

d)	información sobre la o las entidades que gestionan el registro de los datos únicos de identificación de la persona;

e)	una descripción de cómo se cumplen los requisitos de los actos de ejecución a los que se hace referencia en el artículo 12, apartado 8;

f)	una descripción de la autenticación a la que se refiere la letra f) del artículo 7;

g)	disposiciones relativas a la suspensión o revocación del sistema de identificación_electrónica, o autenticación notificados o de las partes interesadas.

2. Un año después de la fecha de aplicación de los actos de ejecución a que hacen referencia el artículo 8, apartado 3, y el artículo 12, apartado 8, la Comisión publicará en el Diario Oficial de la Unión Europea la lista de los sistemas de identificación_electrónica notificados de conformidad con el apartado 1 del presente artículo y la información básica al respecto.

3. Si la Comisión recibe una notificación una vez haya concluido el período a que se refiere el apartado 2, publicará en el Diario Oficial de la Unión Europea las modificaciones de la lista a la que se hace referencia en el apartado 2 en el plazo de dos meses a partir de la fecha de recepción de dicha notificación.

4. Todo Estado miembro podrá presentar a la Comisión la solicitud de suprimir un sistema de identificación_electrónica notificado por dicho Estado miembro de la lista a la que se refiere el apartado 2. La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista en el plazo de un mes a partir de la fecha de recepción de la solicitud del Estado miembro.

5. La Comisión podrá, mediante actos de ejecución, definir las circunstancias, formatos y procedimientos relativos a la notificación a que se refiere el apartado 1. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 10

Violación de la seguridad

1. En caso de que el sistema de identificación_electrónica notificado con arreglo al artículo 9, apartado 1, o la autenticación a que se refiere el artículo 7, letra f), hayan sido violados o puestos parcialmente en peligro de una forma que afecte a la fiabilidad de la autenticación transfronteriza de dicho sistema, el Estado miembro que efectúa la notificación suspenderá o revocará sin dilaciones indebidas dicha autenticación transfronteriza o las partes afectadas, e informará al respecto a los demás Estados miembros y a la Comisión.

2. Cuando se haya subsanado la violación o la puesta en peligro a que se refiere el apartado 1, el Estado miembro que efectúa la notificación restablecerá la autenticación transfronteriza e informará sin dilaciones indebidas a los demás Estados miembros y a la Comisión.

3. Si la violación o la puesta en peligro a que se refiere el apartado 1 no se corrige en un plazo de tres meses a partir de la suspensión o revocación, el Estado miembro que efectúa la notificación comunicará la retirada del sistema de identificación_electrónica a los demás Estados miembros y a la Comisión.

La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 9, apartado 2, sin dilaciones indebidas.

Artículo 11

Responsabilidad

1. El Estado miembro que efectúa la notificación será responsable de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en caso de incumplimiento de sus obligaciones en virtud de las letras d) y f) del artículo 7 en una transacción transfronteriza.

2. La parte que expida los medios de identificación_electrónica será responsable de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en caso de incumplimiento de sus obligaciones en virtud de la letra e) del artículo 7 en una transacción transfronteriza.

3. La parte que realice el procedimiento de autenticación será responsable de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en caso de incumplimiento de sus obligaciones en virtud de la letra f) del artículo 7 en una transacción transfronteriza.

4. Los apartados 1, 2 y 3 se aplicarán con arreglo a las normas nacionales sobre responsabilidad.

5. Los apartados 1, 2 y 3 se entenderán sin perjuicio de la responsabilidad de las partes de acuerdo con la legislación nacional en relación con una transacción en la que se utilicen medios de identificación_electrónica incluidos en el sistema de identificación_electrónica notificado en virtud del artículo 9, apartado 1.

Artículo 21

Inicio de un servicio_de_confianza cualificado

1. Cuando los prestadores de servicios de confianza, sin cualificación, tengan intención de iniciar la prestación de servicios de confianza cualificados, presentarán al organismo de supervisión una notificación de su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad.

2. El organismo de supervisión verificará si el prestador_de_servicios_de_confianza y los servicios de confianza que presta cumplen los requisitos establecidos en el presente Reglamento, y en particular, los requisitos establecidos para los prestadores cualificados de servicios de confianza y para los servicios de confianza cualificados que estos prestan.

Si el organismo de supervisión concluye que el prestador_de_servicios_de_confianza y los servicios de confianza que este presta cumplen los requisitos a que se refiere el párrafo primero, el organismo de supervisión concederá la cualificación al prestador_de_servicios_de_confianza y a los servicios de confianza que este presta y lo comunicará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualizar las listas de confianza a que se refiere el artículo 22, apartado 1, a más tardar tres meses después de la notificación de conformidad con el apartado 1 del presente artículo.

Si la verificación no ha concluido en el plazo de tres meses, el organismo de supervisión informará al prestador_de_servicios_de_confianza especificando los motivos de la demora y el plazo previsto para concluir la verificación.

3. Los prestadores cualificados de servicios de confianza podrán comenzar a prestar el servicio_de_confianza cualificado una vez que la cualificación haya sido indicada en las listas de confianza a que se refiere el artículo 22, apartado 1.

4. La Comisión podrá, mediante actos de ejecución, definir los formatos y procedimientos a efectos de los apartados 1 y 2. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 47

Ejercicio de la delegación

1. Se faculta a la Comisión para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar los actos delegados a que se refiere el artículo 30, apartado 4, se otorgarán a la Comisión para un período indefinido a más tardar el 17 de septiembre de 2014.

3. La delegación de poderes a que se refiere el artículo 30, apartado 4, podrá ser revocada en todo momento por el Parlamento Europeo o el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4. En cuanto la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.

5. Los actos delegados adoptados con arreglo al artículo 30, apartado 4, entrarán en vigor únicamente en caso de que ni el Parlamento Europeo ni el Consejo hayan manifestado objeción alguna en un plazo de dos meses a partir de la notificación de dicho acto a ambas instituciones o en caso de que, antes de que expire dicho plazo, el Parlamento Europeo y el Consejo hayan informado a la Comisión de que no manifestarán objeción alguna. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

whereas

(14) Deben establecerse en el presente Reglamento ciertas condiciones en relación con qué medios de identificación_electrónica tienen que reconocerse y cómo deben notificarse los sistemas.
Esto contribuiría a que cada Estado miembro adquiera la confianza necesaria en los sistemas de identificación_electrónica de los demás y a que se reconozcan mutuamente los medios de identificación_electrónica de los sistemas notificados.
Debe aplicarse el principio de reconocimiento mutuo si el sistema de identificación_electrónica del Estado miembro que efectúa la notificación cumple las condiciones de notificación y esta se ha publicado en el Diario Oficial de la Unión Europea.
Sin embargo, el principio de reconocimiento mutuo debe referirse únicamente a la autenticación a efectos de un servicio en línea.
El acceso a estos servicios en línea y su prestación final al solicitante deben estar estrechamente vinculados al derecho a recibir dichos servicios en las condiciones fijadas por la legislación nacional.

- = -

(17) Los Estados miembros deben fomentar que el sector privado utilice voluntariamente los medios de identificación_electrónica amparados en un sistema notificado a efectos de identificación cuando sea necesario para servicios en línea o transacciones electrónicas.
La posibilidad de utilizar estos medios de identificación_electrónica permitiría al sector privado recurrir a una identificación y autenticación electrónicas ampliamente utilizadas ya en muchos Estados miembros, al menos para los servicios públicos, y facilitar el acceso de las empresas y los ciudadanos a sus servicios en línea a través de las fronteras.
Para facilitar el uso por parte del sector privado de tales medios de identificación_electrónica a través de las fronteras, debe estar disponible la posibilidad de autenticación ofrecida por cualquier Estado miembro para las partes usuarias del sector privado establecidas fuera del territorio de dicho Estado miembro en las mismas condiciones aplicadas a las partes usuarias del sector privado establecidas dentro de dicho Estado miembro.
Por consiguiente, por lo que respecta a las partes usuarias del sector privado, el Estado miembro que efectúa la notificación podrá definir condiciones de acceso a los medios de autenticación.
Dichas condiciones de acceso podrán informar de si en un momento dado los medios de autenticación relacionados con el sistema notificado están disponibles para las partes usuarias del sector privado.

- = -

(18) El presente Reglamento establece la responsabilidad del Estado miembro que efectúa la notificación, de la parte que expide los medios de identificación_electrónica y de la parte que realiza el procedimiento de autenticación en caso de incumplimiento de las obligaciones pertinentes dispuestas en el mismo.
No obstante, el presente Reglamento debe aplicarse en consonancia con las normas nacionales sobre responsabilidad.
Por lo tanto, no afectará a dichas normas nacionales, por ejemplo sobre la definición de daños y perjuicios o sobre las normas de procedimiento aplicables, incluida la carga de la prueba.

- = -

(36) El establecimiento de un régimen de supervisión de todos los prestadores de servicios de confianza debe garantizar unas condiciones de igualdad en cuanto a la seguridad y la rendición de cuentas en relación con sus operaciones y servicios, contribuyendo así a la protección de los usuarios y al funcionamiento del mercado interior.
Los prestadores no cualificados de servicios de confianza deben estar sujetos a un tipo de supervisión ligera, reactiva y posterior y justificada en función de la naturaleza de sus servicios y operaciones.
Por consiguiente, el organismo de supervisión no debe tener la obligación general de supervisar a los prestadores no cualificados de servicios.
El organismo de supervisión debe actuar únicamente cuando se le informe (por ejemplo, por parte del propio prestador no cualificado de servicios de confianza, mediante notificación de un usuario o de un socio comercial, o a través de sus propias investigaciones) de que un prestador no cualificado de servicios de confianza no cumple los requisitos del presente Reglamento.

- = -

(38) Es esencial la notificación de las violaciones de la seguridad y de las evaluaciones del riesgo para la seguridad con vistas a ofrecer una información adecuada a las partes implicadas en caso de violación de la seguridad o pérdida de la integridad.

- = -

(39) Con el fin de permitir a la Comisión y a los Estados miembros evaluar la eficacia de la mecanismo de notificación de violaciones introducido por el presente Reglamento, los organismos de supervisión deben proporcionar información resumida a la Comisión y a la Agencia de Seguridad de las Redes y de la Información (ENISA) de la Unión Europea.

- = -

keyboard_tab EIDAS 2014/0910 ES

EIDAS 2014/0910 ES