Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Entra en vigor la ley que regula los servicios electrónicos de confianza. Conoce cómo te afecta si usas documentos electrónicos

Fecha de publicación 16/03/2021
Autor
INCIBE (INCIBE)
Portátil apoyado sobre un ordenador

El día 13 de noviembre de 2020 entró en vigor la Ley 6/2020 reguladora de determinados aspectos de los servicios electrónicos de confianza. Con este nombre se denominan los servicios de creación, verificación y validación de firmas electrónicas, sellos electrónicos, sellos de tiempo, servicios de entrega electrónica certificados y los certificados relativos a estos servicios, así como los certificados para la autenticación de sitios web y la preservación de todos ellos.

Estos servicios adoptados por la empresa en sus procesos aportan confianza en el comercio electrónico y en todo tipo de transacciones, ayudando a construir relaciones con los clientes. También son, en muchos casos, una exigencia para realizar algunos trámites, como recibir notificaciones de la Agencia Tributaria y para comunicarse con la Seguridad Social o emitir facturas electrónicas.

Esta ley está derivada de la transposición del Reglamento europeo 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, también conocido por sus siglas en inglés como eIDAS. De esta forma, España ha estandarizado su normativa con el resto de países miembros de la Unión Europea.

Estos prestadores deben comunicar su actividad al organismo de supervisión, el Ministerio de Asuntos Económicos y Transformación Digital, que mantendrá listados en su web. Estos prestadores podrán prestar servicios cualificados si el organismo de supervisión verifica los requisitos que impone el reglamento eIDAS (art. 24) para los servicios cualificados.

Novedades de la ley 6/2020

Una de las novedades de esta ley referente a los servicios electrónicos de confianza, es que los prestadores de estos servicios deberán garantizar que la información contenida en los certificados, sellos y firmas electrónicas que nos ofrecen sea veraz y acorde con la normativa. Además, los prestadores deberán poner a disposición de los usuarios un servicio de consulta para comprobar la validez del certificado. También contarán con los sistemas necesarios para almacenar durante 15 años la información referente a los servicios prestados.

Con respecto a la anterior ley, no se altera la vigencia de los certificados electrónicos de confianza, es decir, no será superior a 5 años (prorrogable por otros 5), aunque podría ser menor teniendo cuenta las características y tecnología empleada para generar los datos de creación de firma, sello o autenticación de sitio web. Dicha vigencia podrá ser revocada o suspendida por parte de la entidad emisora o de un organismo oficial, teniendo en cuenta lo establecido por la ley (art. 5).

En el caso de prestadores cualificados que pertenezcan al sector privado, deberán contratar un seguro de responsabilidad civil para poder operar, como garantía. Asimismo, todos los prestadores de confianza cualificados, cuando cesen su actividad, deberán lanzar un preaviso a los usuarios de sus servicios y al órgano de supervisión con una antelación de dos meses.

En el caso de que se produzcan incidentes de seguridad, deberán notificarlo sin demoras al Ministerio de Asuntos Económicos y Transformación Digital, a la Agencia Española de Protección de Datos y a los usuarios cuyos datos personales se hayan visto afectados, así como adoptar las medidas reparadoras para dichas incidencias. En caso de no corregir dichas incidencias podrán ser sancionados.

Otro punto importante es que desaparece el término «tercero de confianza», con el que se denominaba a los prestadores de servicios de entrega electrónica certificada y de conservación de firmas y sellos electrónicos.

Las personas físicas que se representen a sí mismas o actúen en nombre de una persona jurídica serán las únicas que podrán hacer uso de la firma electrónica. No se podrán emitir certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica, estas deberán hacer uso de certificados de sello electrónico que permitan garantizar la autenticidad e integridad de documentos, tales como facturas electrónicas, y certificados de autenticación de sitio web. En el caso particular de personas jurídicas para los certificados de representante, si se permite el uso de certificados de firma para aquellas personas físicas que legalmente les representen.

Por último, se introduce un aspecto novedoso, añadiendo el art. 12 a la LSSI, que es el derecho a la portabilidad de datos no personales, lo cual obliga a los prestadores de servicios de intermediación, que alojen o almacenen datos de usuarios a los que prestan servicios de redes sociales o servicios de la sociedad de la información, a enviar a petición de estos la información facilitada y a su posterior transmisión a otro prestador, si así lo desean, en un formato estructurado, de uso común y legible. Es decir, si una empresa o autónomo desea portar la información que tiene un prestador sobre ella, podrá solicitarlo, como sucede con la información personal en la Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales.

Tipos de prestadores de servicios de confianza y características

Un prestador de servicios de confianza es una organización o entidad que se encarga de crear, verificar y validar todos los servicios inherentes a la firma electrónica, al sello electrónico o a cualquier otro servicio de confianza, como puede ser la autenticación de un sitio web.

Un prestador es cualificado si el organismo competente, en España el Ministerio de Asuntos Económicos y Transformación Digital, a través de una entidad acreditada, ha verificado que los servicios que ofrece tienen plena validez jurídica, según la ley y el reglamento eIDAS (art. 24), y les ha concedido la cualificación, que tendrán que renovar periódicamente.

Todos los prestadores de servicios de confianza deben estar registrados ante el organismo competente, que mantendrá los listados de prestadores de confianza cualificados y no cualificados.

Los certificados cualificados podrán emitirse a nombre de:

  • Una persona física: por ejemplo, los certificados de firma electrónica o de representación, en los que deberán constar los datos del titular (nombre y apellidos y número del DNI o documento identificativo análogo).
  • Una persona jurídica: por ejemplo, el certificado de sello de confianza, en el que deberá constar la denominación social de la entidad y el número de identificación fiscal.
  • Mediante pseudónimo, ya sea una persona física o jurídica. En esta última opción, el prestador del servicio está obligado a verificar y conservar la documentación que acredite la identidad real del usuario y ponerla a disposición de las autoridades judiciales o administrativas cuando estas la soliciten.

Los prestadores que ofrezcan servicios de confianza en la nube y en aplicaciones móviles (firma, sello o autenticación de sitio web) deberán almacenar de forma segura la información concerniente a los mismos, garantizando su disponibilidad y que siempre esté bajo el control del titular. Además, es necesario que garanticen la custodia de los datos, evitando que estos sufran cualquier posible modificación, destrucción o acceso no autorizado.

¿Cómo afecta a otras leyes?

El objeto de esta ley es adaptar nuestro ordenamiento jurídico al marco regulatorio de la Unión Europea. Por ello, otro aspecto a tener en cuenta con la aprobación en la ley 6/2020 es la derogación y modificación de otras leyes y normativas vigentes hasta el momento de su entrada en vigor.

  • Es el caso de la Ley de firma electrónica 59/2003 que ha sido completamente derogada, pues trasponía una directiva europea ya desplazada con lo establecido por el reglamento eIDAS.
  • También queda anulado el art. 25 de la Ley de servicios de la sociedad de la información y de comercio electrónico o LSSICE, que regula los servicios de entrega electrónica certificada y de conservación de firmas y sellos electrónicos, para adecuarlo a lo establecido por el Reglamento (UE) 910/2014.

Por último, otra modificación reseñable es la del art. 326 de la Ley de Enjuiciamiento Civil (Ley 1/2000), referente a la impugnación de un certificado electrónico emitido por un servicio de confianza cualificado, por el cual la prueba recaerá sobre la parte que realice dicha impugnación. Es decir, se dará presunción de validez a aquellos certificados, tanto públicos como privados, que hayan sido emitidos de forma correcta por servicios de confianza cualificados. En el caso de los documentos emitidos por servicios de confianza no cualificados, no tendrán ventaja probatoria.

En resumen, como empresa o autónomo, si haces uso de la firma electrónica, sellos de tiempo, servicios de entrega electrónica certificados o certificados para tu web, es conveniente que conozcas tus derechos, revises la vigencia de los certificados y valores si en tus procesos te hacen falta servicios cualificados o no, contando siempre con proveedores registrados.

Recuerda que también puedes contactar con nosotros si tienes dudas a través del 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto o duda relacionada con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad