EIDAS 2014/0910 ES

1)	« identificación_electrónica», el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica;

2)	«medios de identificación_electrónica», una unidad material y/o inmaterial que contiene los datos de identificación de una persona y que se utiliza para la autenticación en servicios en línea;

3)	« datos_de_identificación_de_la_persona», un conjunto de datos que permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica;

4)	«sistema de identificación_electrónica», un régimen para la identificación_electrónica en virtud del cual se expiden medios de identificación_electrónica a las personas físicas o jurídicas o a una persona física que representa a una persona jurídica;

5)	« autenticación», un proceso electrónico que posibilita la identificación_electrónica de una persona física o jurídica, o del origen y la integridad de datos en formato electrónico;

6)	« parte_usuaria», la persona física o jurídica que confía en la identificación_electrónica o el servicio_de_confianza;

« organismo_del_sector_público», las autoridades estatales, regionales o locales, los organismos de Derecho público y las asociaciones formadas por una o varias de estas autoridades o uno o varios de estos organismos de Derecho público, o las entidades privadas mandatarias de al menos una de estas autoridades, organismos o asociaciones para prestar servicios públicos actuando en esa calidad;

8)	« organismo_de_Derecho_público», el definido en el artículo 2, apartado 1, punto 4, de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo (15);

9)	« firmante», una persona física que crea una firma_electrónica;

10)	« firma_electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar;

11)	« firma_electrónica avanzada», la firma_electrónica que cumple los requisitos contemplados en el artículo 26;

12)	« firma_electrónica cualificada», una firma_electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma_electrónica;

13)	«datos de creación de la firma_electrónica», los datos únicos que utiliza el firmante para crear una firma_electrónica;

14)	«certificado de firma_electrónica», una declaración electrónica que vincula los datos_de_ validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona;

15)	«certificado cualificado de firma_electrónica», un certificado de firma_electrónica que ha sido expedido por un prestador_cualificado_de_servicios_de_confianza y que cumple los requisitos establecidos en el anexo I;

16)

« servicio_de_confianza», el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en:

a)	la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o

b)	la creación, verificación y validación de certificados para la autenticación de sitios web, o

c)	la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios;

17)	« servicio_de_confianza cualificado», un servicio_de_confianza que cumple los requisitos aplicables establecidos en el presente Reglamento;

18)

« organismo_de_evaluación_de_conformidad», un organismo definido en el punto 13 del artículo 2 del Reglamento (CE) no 765/2008 cuya competencia para realizar una evaluación de conformidad de un prestador_cualificado_de_servicios_de_confianza y de los servicios de confianza cualificados que este presta esté acreditada en virtud de dicho Reglamento;

19)	« prestador_de_servicios_de_confianza», una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianzas;

20)	« prestador_cualificado_de_servicios_de_confianza», un prestador_de_servicios_de_confianza que presta uno o varios servicios de confianza cualificados y al que el organismo de supervisión ha concedido la cualificación;

21)	« producto», un equipo o programa informático, o los componentes pertinentes del mismo, destinado a ser utilizado para la prestación de servicios de confianza;

22)	«dispositivo de creación de firma_electrónica», un equipo o programa informático configurado que se utiliza para crear una firma_electrónica;

23)	«dispositivo cualificado de creación de firma_electrónica», un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II;

24)	« creador_de_un_sello», una persona jurídica que crea un sello_electrónico;

25)	« sello_electrónico», datos en formato electrónico anejos a otros datos en formato electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de estos últimos;

26)	« sello_electrónico avanzado», un sello_electrónico que cumple los requisitos contemplados en el artículo 36;

27)	« sello_electrónico cualificado», un sello_electrónico avanzado que se crea mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello_electrónico;

28)	«datos de creación del sello_electrónico», los datos únicos que utiliza el creador del sello_electrónico para crearlo;

29)	«certificado de sello_electrónico», una declaración electrónica que vincula los datos_de_ validación de un sello con una persona jurídica y confirma el nombre de esa persona;

30)	«certificado cualificado de sello_electrónico», un certificado de sellos electrónicos que ha sido expedido por un prestador_cualificado_de_servicios_de_confianza y que cumple los requisitos establecidos en el anexo III;

31)	«dispositivo de creación de sello_electrónico», un equipo o programa informático configurado que se utiliza para crear un sello_electrónico;

32)	«dispositivo cualificado de creación de sello_electrónico», un dispositivo de creación de sellos electrónicos que cumple mutatis mutandis los requisitos enumerados en el anexo II;

33)	« sello_de_tiempo_electrónico», datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante;

34)	« sello_cualificado_de_tiempo_electrónico», un sello_de_tiempo_electrónico que cumple los requisitos establecidos en el artículo 42;

35)	« documento_electrónico», todo contenido almacenado en formato electrónico, en particular, texto o registro sonoro, visual o audiovisual;

36)

« servicio_de_entrega_electrónica_certificada», un servicio que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizada;

37)	« servicio_cualificado_de_entrega_electrónica_certificada», un servicio_de_entrega_electrónica_certificada que cumple los requisitos establecidos en el artículo 44;

38)	«certificado de autenticación de sitio web», una declaración que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;

39)	«certificado cualificado de autenticación de sitio web», un certificado de autenticación de sitio web expedido por un prestador_cualificado_de_servicios_de_confianza y que cumple los requisitos establecidos en el anexo IV;

40)	« datos_de_ validación», los datos utilizados para validar una firma_electrónica o un sello_electrónico;

41)	« validación», el proceso de verificar y confirmar la validez de una firma o sello_electrónicos.

Artículo 8

Niveles de seguridad de los sistemas de identificación_electrónica

1. Un sistema de identificación_electrónica notificado en virtud del artículo 9, apartado 1, deberá especificar los niveles de seguridad bajo, sustancial y alto para los medios de identificación_electrónica expedidos en virtud del mismo.

2. Los niveles de seguridad bajo, sustancial y alto cumplirán los siguientes criterios, respectivamente:

el nivel de seguridad bajo se referirá a un medio de identificación_electrónica, en el contexto de un sistema de identificación_electrónica, que establece un grado limitado de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir el riesgo de uso indebido o alteración de la identidad;

el nivel de seguridad sustancial se referirá a un medio de identificación_electrónica, en el contexto de un sistema de identificación_electrónica, que establece un grado sustancial de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir sustancialmente el riesgo de uso indebido o alteración de la identidad;

el nivel de seguridad alto se referirá a un medio de identificación_electrónica, en el contexto de un sistema de identificación_electrónica, que establece un grado de confianza en la identidad pretendida o declarada de una persona superior al medio de identificación_electrónica con un nivel de seguridad sustancial, y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, cuyo objetivo es evitar el uso indebido o alteración de la identidad.

3. A más tardar el 18 de septiembre de 2015, teniendo en cuenta las normas internacionales pertinentes, y en los términos del apartado 2, la Comisión establecerá, mediante actos de ejecución, las especificaciones técnicas mínimas, las normas y los procedimientos con referencia a los cuales se especificarán los niveles de seguridad bajo, sustancial y alto de los medios de identificación_electrónica a efectos del apartado 1.

Estas especificaciones técnicas mínimas, normas y procedimientos se establecerán en referencia a la fiabilidad y la calidad de los siguientes elementos:

a)	el procedimiento para demostrar y comprobar la identidad de las personas físicas o jurídicas que solicitan la expedición de los medios de identificación_electrónica;

b)	el procedimiento para expedir los medios de identificación_electrónica solicitados;

c)	el mecanismo de autenticación mediante el cual la persona física o jurídica utiliza los medios de identificación_electrónica para confirmar su identidad a una parte_usuaria;

d)	la entidad que expide los medios de identificación_electrónica;

e)	cualquier otro organismo que intervenga en la solicitud de expedición de los medios de identificación_electrónica, y

f)	las especificaciones técnicas y de seguridad de los medios de identificación_electrónica.

Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 12

Cooperación e interoperabilidad

1. Los sistemas nacionales de identificación_electrónica notificados de conformidad con el artículo 9, apartado 1, serán interoperables.

2. A efectos del apartado 1, se establecerá un marco de interoperabilidad.

3. El marco de interoperabilidad debe cumplir los criterios siguientes:

a)	aspirar a ser neutro desde un punto de vista tecnológico y no discriminar entre soluciones técnicas nacionales específicas para la identificación_electrónica dentro del Estado miembro;

b)	ajustarse a las normas internacionales y europeas, siempre que sea posible;

c)	facilitar la aplicación del principio de privacidad desde el diseño, y

d)	garantizar que los datos personales se procesen con arreglo a la Directiva 95/46/CE.

4. El marco de interoperabilidad consistirá en lo siguiente:

a)	una referencia a los requisitos técnicos mínimos relativos a los niveles de seguridad contemplados en el artículo 8;

b)	una correlación entre los niveles de seguridad nacionales de los sistemas de identificación_electrónica y los niveles de seguridad contemplados en el artículo 8;

c)	una referencia a los requisitos técnicos mínimos para la interoperabilidad;

d)	una referencia a un conjunto mínimo de datos_de_identificación_de_la_persona que representan de manera única a una persona física o jurídica, y que está disponible en los sistemas de identificación_electrónica;

e)	reglas de procedimiento;

f)	acuerdos para la resolución de litigios, y

g)	normas comunes de seguridad operativa.

5. Los Estados miembros cooperarán con respecto a lo siguiente:

a)	la interoperabilidad de los sistemas de identificación_electrónica notificados con arreglo al artículo 9, apartado 1, y los sistemas de identificación_electrónica que los Estados miembros tienen intención de notificar, y

b)	la seguridad de los sistemas de identificación_electrónica.

6. La cooperación entre Estados miembros consistirá en:

a)	un intercambio de información, experiencia y prácticas idóneas sobre sistemas de identificación_electrónica, en particular sobre los requisitos técnicos relacionados con la interoperabilidad y los niveles de seguridad;

b)	un intercambio de información, experiencia y prácticas idóneas sobre el trabajo con los niveles de seguridad de los sistemas de identificación_electrónica contemplados en el artículo 8;

c)	una revisión inter pares de los sistemas de identificación_electrónica que entran en el ámbito de aplicación del presente Reglamento, y

d)	un examen de las novedades pertinentes en el sector de la identificación_electrónica.

7. A más tardar el 18 de marzo de 2015, la Comisión fijará, mediante actos de ejecución, las modalidades de procedimiento necesarias para facilitar la cooperación entre los Estados miembros a que se refieren los apartados 5 y 6, con vistas a fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo.

8. A más tardar el 18 de septiembre de 2015, a efectos de establecer condiciones uniformes para la ejecución de los requisitos del apartado 1, la Comisión, sin perjuicio de los criterios establecidos en el apartado 3 y teniendo en cuenta los resultados de la cooperación entre Estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad tal como se establece en el apartado 4.

9. Los actos de ejecución a que se refieren los apartados 7 y 8 del presente artículo se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 48, apartado 2.

CAPÍTULO III

SERVICIOS DE CONFIANZA

SECCIÓN 1

Disposiciones generales

Artículo 19

Requisitos de seguridad aplicables a los prestadores de servicios de confianza

1. Los prestadores cualificados y no cualificados de servicios de confianza adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de seguridad proporcionado al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.

2. Los prestadores cualificados y no cualificados de servicios de confianza, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y, en caso pertinente, a otros organismo relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio_de_confianza prestado o en los datos personales correspondientes.

Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio_de_confianza, el prestador_de_servicios_de_confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.

Cuando proceda, en particular si una violación de la seguridad o pérdida de la integridad afecta a dos o más Estados miembros, el organismo de supervisión notificado informará al respecto a los organismos de supervisión de los demás Estados miembros de que se trate y a la ENISA.

El organismo de supervisión notificado informará al público o exigirá al prestador_de_servicios_de_confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste interés público.

3. El organismo de supervisión facilitará a la ENISA anualmente un resumen de las notificaciones de violación de la seguridad y pérdida de la integridad recibidas de los prestadores de servicios de confianza.

4. La Comisión podrá, mediante actos de ejecución, establecer:

a)	una mayor especificación de las medidas a que se refiere el apartado 1, y

b)	la definición de los formatos y procedimientos, incluidos los plazos, aplicables a efectos del apartado 2.

Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 3

Servicios de confianza cualificados

Artículo 24

Requisitos para los prestadores cualificados de servicios de confianza

1. Al expedir un certificado cualificado para un servicio_de_confianza, un prestador_cualificado_de_servicios_de_confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador_de_servicios_de_confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

a)	en presencia de la persona física o de un representante autorizado de la persona jurídica, o

a distancia, utilizando medios de identificación_electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c)	por medio de un certificado de una firma_electrónica cualificada o de un sello_electrónico cualificado expedido de conformidad con la letra a) o b), o

d)	utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

2. Los prestadores cualificados de servicios de confianza que prestan servicios de confianza cualificados:

a)	informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados, y de su intención de cesar tales actividades;

contarán con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de protección de datos personales y que apliquen procedimientos administrativos y de gestión que correspondan a normas europeas o internacionales;

c)	con respecto al riesgo de la responsabilidad por daños y perjuicios de conformidad con el artículo 13, mantendrán recursos financieros suficientes u obtendrán pólizas de seguros de responsabilidad adecuadas, de conformidad con la legislación nacional;

d)	antes de entrar en una relación contractual, informarán, de manera clara y comprensible, a cualquier persona que desee utilizar un servicio_de_confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;

e)	utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustentan;

utilizarán sistemas fiables para almacenar los datos que se les faciliten de forma verificable, de modo que:

i)	estén a disposición del público para su recuperación solo cuando se haya obtenido el consentimiento de la persona a la que corresponden los datos,

ii)	solo personas autorizadas puedan hacer anotaciones y modificaciones en los datos almacenados,

iii)	pueda comprobarse la autenticidad de los datos;

g)	tomarán medidas adecuadas contra la falsificación y el robo de datos;

registrarán y mantendrán accesible durante un período de tiempo apropiado, incluso cuando hayan cesado las actividades del prestador_cualificado_de_servicios_de_confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador_cualificado_de_servicios_de_confianza, en particular al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;

i)	contarán con un plan de cese actualizado para garantizar la continuidad del servicio, de conformidad con las disposiciones verificadas por el organismo de supervisión con arreglo al artículo 17, apartado 4, letra i);

j)	garantizarán un tratamiento lícito de los datos personales de conformidad con la Directiva 95/46/CE;

k)	en caso de los prestadores cualificados de servicios de confianza que expidan certificados cualificados, establecerán y mantendrán actualizada una base de datos de certificados.

3. Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registrarán su revocación en su base de datos de certificados y publicarán el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de 24 horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.

4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte_usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.

5. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para sistemas y productos fiables que cumplan con los requisitos establecidos las letras e) y f) del apartado 2 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando los sistemas y productos fiables cumplan dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 4

Firma electrónica

whereas

(20) La cooperación de los Estados miembros debe contribuir a la interoperabilidad técnica de los sistemas de identificación_electrónica notificados con vistas a fomentar un nivel de confianza y seguridad elevados, adaptados al grado de riesgo.
El intercambio de información y de las mejores prácticas entre los Estados miembros con miras a su reconocimiento mutuo debe facilitar dicha cooperación.

- = -

(32) A todos los prestadores de servicios de confianza debe incumbir la aplicación de las buenas prácticas de seguridad adecuadas para los riesgos relacionados con sus actividades a fin de promover la confianza de los usuarios en el mercado único.

- = -

(37) El presente Reglamento debe establecer la responsabilidad de todos los prestadores de servicios de confianza.
Establece, en particular, el régimen de responsabilidad conforme al cual todos los prestadores de servicios de confianza deben responder de los perjuicios ocasionados a cualquier persona física o jurídica con motivo del incumplimiento por su parte de las obligaciones que impone el presente Reglamento.
Con objeto de facilitar la evaluación del riesgo financiero que podrían tener que soportar los prestadores de servicios de confianza, o el que deberían cubrir mediante pólizas de seguros, el presente Reglamento permite que los prestadores de servicios de confianza establezcan limitaciones, en determinadas circunstancias, relativas a la utilización de los servicios que prestan y que los exima de responsabilidad por los perjuicios derivados de la utilización de los servicios que superen dichas limitaciones.
Debe informarse debidamente a los clientes de estas limitaciones con antelación.
Tales limitaciones deben poder ser reconocidas por terceros, por ejemplo mediante la inclusión de información al respecto en las condiciones generales del servicio prestado o por otros medios reconocibles.
Con el fin de dar efecto a estos principios, el presente Reglamento debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad.
Por lo tanto, el presente Reglamento no afectará a tales normas nacionales, por ejemplo las relativas a la definición de los perjuicios, la intencionalidad, la negligencia o las normas de procedimiento aplicables pertinentes.

- = -

(38) Es esencial la notificación de las violaciones de la seguridad y de las evaluaciones del riesgo para la seguridad con vistas a ofrecer una información adecuada a las partes implicadas en caso de violación de la seguridad o pérdida de la integridad.

- = -

keyboard_tab EIDAS 2014/0910 ES

EIDAS 2014/0910 ES