|
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/1 |
REGLAMENTO DE EJECUCIÓN (UE) 2015/1501 DE LA COMISIÓN
de 8 de septiembre de 2015
sobre el marco de interoperabilidad de conformidad con el artículo 12, apartado 8, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 12, apartado 8,
Considerando lo siguiente:
|
(1) |
El artículo 12, apartado 2, del Reglamento (UE) no 910/2014 dispone que debe establecerse un marco de interoperabilidad de los sistemas nacionales de identificación electrónica notificados de conformidad con el artículo 9, apartado 1, de dicho Reglamento. |
|
(2) |
Los nodos desempeñan un papel central en la interconexión de los sistemas de identificación electrónica de los Estados miembros. Su contribución se explica en la documentación relacionada con el Mecanismo «Conectar Europa» establecido por el Reglamento (UE) no 1316/2013 del Parlamento Europeo y del Consejo (2), incluidos los componentes y las funciones del «nodo eIDAS». |
|
(3) |
Cuando un Estado miembro o la Comisión proporcionan software para habilitar la autenticación en un nodo explotado en otro Estado miembro, la parte que suministra y actualiza el software utilizado para el mecanismo de autenticación puede acordar con la parte que aloja el software cómo se gestionará el funcionamiento del mecanismo de autenticación. Un acuerdo de este tipo no debe imponer requisitos técnicos o costes desproporcionados (incluidos la asistencia, las responsabilidades, el alojamiento y otros costes) a la parte que realiza el alojamiento. |
|
(4) |
En la medida en que la aplicación del marco de interoperabilidad lo justifique, la Comisión podría desarrollar especificaciones técnicas adicionales que proporcionen información detallada sobre los requisitos técnicos establecidos en el presente Reglamento, en cooperación con los Estados miembros, en particular teniendo en cuenta los dictámenes de la Red de Cooperación a que se refiere el artículo 14, letra d), de la Decisión de Ejecución (UE) 2015/296 de la Comisión (3). Dichas especificaciones deben desarrollarse como parte de las infraestructuras de servicios digitales del Reglamento (UE) no 1316/2013, en el que se proporcionan los medios para la aplicación práctica de un módulo de identificación electrónica. |
|
(5) |
Los requisitos técnicos establecidos en el presente Reglamento deben ser aplicables a pesar de los cambios en las especificaciones técnicas que podrían desarrollarse de conformidad con el artículo 12 del presente Reglamento. |
|
(6) |
El proyecto piloto a gran escala STORK, incluidas las especificaciones que desarrolle, y los principios y los conceptos del marco europeo de interoperabilidad para los servicios públicos europeos se han tenido en cuenta en la mayor medida posible al establecer las disposiciones del marco de interoperabilidad previsto en el presente Reglamento. |
|
(7) |
Los resultados de la cooperación entre los Estados miembros se han tenido en cuenta en la mayor medida posible. |
|
(8) |
Las medidas previstas en el presente Reglamento se ajustan al Dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Objeto
El presente Reglamento establece los requisitos técnicos y de funcionamiento del marco de interoperabilidad con el fin de garantizar la interoperabilidad de los sistemas de identificación electrónica que los Estados miembros notifiquen a la Comisión.
Estos requisitos incluyen en particular:
|
a) |
requisitos técnicos mínimos relacionados con los niveles de seguridad y la correlación de niveles de seguridad nacionales de medios de identificación electrónica notificados expedidos en el marco de sistemas de identificación electrónica notificados en virtud del artículo 8 del Reglamento (UE) no 910/2014, como se establece en los artículos 3 y 4; |
|
b) |
requisitos técnicos mínimos de interoperabilidad, como se establece en los artículos 5 y 8; |
|
c) |
el conjunto mínimo de datos de identificación de personas que representen de manera exclusiva a una persona física o jurídica, como se establece en el artículo 11 y en el anexo; |
|
d) |
normas de seguridad operativa comunes, como se establece en los artículos 6, 7, 9 y 10; |
|
e) |
disposiciones para la solución de litigios, como se establece en el artículo 13. |
Artículo 2
Definiciones
A efectos del presente Reglamento, se aplicarán las siguientes definiciones:
1) «nodo»: punto de conexión que forma parte de la arquitectura de interoperabilidad de identificación electrónica, que participa en la autenticación transfronteriza de las personas y que tiene la capacidad de reconocer y procesar o reenviar transmisiones a otros nodos permitiendo a la infraestructura de identificación electrónica nacional de un Estado miembro interaccionar con las infraestructuras de identificación electrónica nacionales de otros Estados miembros;
2) «operador del nodo»: entidad responsable de garantizar que el nodo realiza de manera correcta y fiable sus funciones como punto de conexión.
Artículo 3
Requisitos técnicos mínimos relacionados con los niveles de seguridad
Los requisitos técnicos mínimos relacionados con los niveles de seguridad serán los establecidos en el Reglamento de Ejecución (UE) 2015/1502 (4) de la Comisión.
Artículo 4
Correlación de los niveles de seguridad nacionales
La correlación de los niveles de seguridad nacionales de los sistemas de identificación electrónica notificados se ajustará a los requisitos establecidos en el Reglamento de Ejecución (UE) 2015/1502 de la Comisión. Los resultados de la correlación se notificarán a la Comisión mediante la plantilla de notificación establecida en la Decisión de Ejecución (UE) 2015/1505 (5) de la Comisión.
Artículo 5
Nodos
1. Un nodo de un Estado miembro será capaz de conectarse con los nodos de otros Estados miembros.
2. Los nodos serán capaces de distinguir entre los organismos del sector público y otras partes usuarias por medios técnicos.
3. La aplicación por parte de un Estado miembro de los requisitos técnicos establecidos en el presente Reglamento no impondrá requisitos técnicos y costes desproporcionados a los demás Estados miembros con el fin de que puedan interoperar con la aplicación adoptada por el primer Estado miembro.
Artículo 6
Privacidad y confidencialidad de datos
1. La protección de la privacidad y la confidencialidad de los datos intercambiados y el mantenimiento de la integridad de los datos entre los nodos se garantizarán mediante las mejores soluciones técnicas y prácticas de protección disponibles.
2. Los nodos no almacenarán ningún dato personal, salvo para los fines establecidos en el artículo 9, apartado 3.
Artículo 7
Integridad y autenticidad de los datos para la comunicación
La comunicación entre los nodos garantizará la integridad y autenticidad de los datos para asegurar que todas las solicitudes y respuestas sean auténticas y no hayan sido alteradas. Con este fin, los nodos utilizarán las soluciones que se han empleado con éxito en el uso operativo transfronterizo.
Artículo 8
Formato de los mensajes para la comunicación
Los nodos utilizarán para la sintaxis formatos de mensaje comunes basados en las normas que ya se hayan implantado más de una vez entre los Estados miembros y que hayan demostrado funcionar en un entorno operativo. La sintaxis permitirá:
|
a) |
el correcto tratamiento del conjunto mínimo de datos de identificación de la persona que representen de manera exclusiva a una persona física o jurídica; |
|
b) |
el correcto tratamiento del nivel de seguridad de los medios de identificación electrónica; |
|
c) |
la distinción entre los organismos del sector público y otras partes usuarias; |
|
d) |
la flexibilidad para satisfacer las necesidades de atributos adicionales relacionados con la identificación. |
Artículo 9
Gestión de los metadatos y la información de seguridad
1. El operador del nodo comunicará los metadatos de la gestión del nodo de una manera normalizada que pueda procesarse por medios mecánicos y de modo seguro y fiable.
2. Como mínimo los parámetros pertinentes para la seguridad se recuperarán de forma automática.
3. El operador del nodo almacenará datos que, en caso de producirse un incidente, permitan la reconstrucción de la secuencia del intercambio de mensajes para establecer el lugar y la naturaleza del incidente. Los datos se almacenarán durante un período de tiempo conforme a los requisitos nacionales y, como mínimo, constarán de los siguientes elementos:
|
a) |
identificación del nodo; |
|
b) |
identificación de los mensajes; |
|
c) |
fecha y hora de los mensajes. |
Artículo 10
Seguridad de la información y normas de seguridad
1. Los operadores de nodos que proporcionen autenticación demostrarán que, con respecto a los nodos participantes en el marco de interoperabilidad, el nodo cumple los requisitos de la norma ISO/CEI 27001 por medio de certificación, o por métodos de evaluación equivalentes, o mediante el cumplimiento de la legislación nacional.
2. Los operadores de nodos implantarán actualizaciones críticas de seguridad sin demora indebida.
Artículo 11
Datos de identificación de la persona
1. Un conjunto mínimo de datos de identificación de la persona que represente de manera exclusiva a una persona física o jurídica cumplirá los requisitos establecidos en el anexo cuando se utilice en un contexto transfronterizo.
2. Un conjunto de datos mínimos para una persona física que represente a una persona jurídica contendrá la combinación de los atributos que se indican en el anexo para las personas físicas y las personas jurídicas cuando se utilice en un contexto transfronterizo.
3. Los datos se transmitirán según el alfabeto original y, en su caso, también se transliterarán al alfabeto latino.
Artículo 12
Especificaciones técnicas
1. En los casos en que lo justifique el proceso de aplicación del marco de interoperabilidad, la Red de Cooperación establecida por la Decisión de Ejecución (UE) 2015/296 podrá adoptar dictámenes de conformidad con el artículo 14, letra d), de la misma sobre la necesidad de desarrollar especificaciones técnicas. Estas especificaciones técnicas deberán proporcionar más detalles sobre los requisitos técnicos establecidos en el presente Reglamento.
2. De conformidad con el dictamen a que se refiere el apartado 1, la Comisión, en cooperación con los Estados miembros, desarrollará las especificaciones técnicas como parte de las infraestructuras de servicios digitales del Reglamento (UE) no 1316/2013.
3. La Red de Cooperación adoptará un dictamen de conformidad con el artículo 14, letra d), de la Decisión de Ejecución (UE) 2015/296 en el que se evalúe si las especificaciones técnicas desarrolladas en virtud del apartado 2 corresponden a la necesidad identificada en el dictamen a que se refiere el apartado 1 o a los requisitos establecidos en el presente Reglamento y en qué medida. Podrá recomendar a los Estados miembros que tengan en cuenta las especificaciones técnicas al aplicar el marco de interoperabilidad.
4. La Comisión proporcionará una aplicación de referencia como ejemplo de interpretación de las especificaciones técnicas. Los Estados miembros podrán aplicar esa aplicación de referencia o utilizarla a modo de ejemplo al probar otras aplicaciones de las especificaciones técnicas.
Artículo 13
Resolución de litigios
1. En la medida de lo posible, cualquier litigio relacionado con el marco de interoperabilidad será resuelto por los Estados miembros afectados por medio de una negociación.
2. Si no se llega a ninguna solución de conformidad con el apartado 1, la Red de Cooperación establecida de conformidad con lo dispuesto en el artículo 12 de la Decisión de Ejecución (UE) 2015/296 de la Comisión tendrá competencia en el litigio de acuerdo con su reglamento de procedimiento.
Artículo 14
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 8 de septiembre de 2015.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) DO L 257 de 28.8.2014, p. 73.
(2) Reglamento (UE) no 1316/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, por el que se crea el Mecanismo «Conectar Europa», por el que se modifica el Reglamento (UE) no 913/2010 y por el que se derogan los Reglamentos (CE) no 680/2007 y (CE) no 67/2010 (DO L 348 de 20.12.2013, p. 129).
(3) Decisión de Ejecución (UE) 2015/296 de la Comisión, de 24 de febrero de 2015, por la que se establecen las modalidades de procedimiento para la cooperación entre los Estados miembros en materia de identificación electrónica con arreglo al artículo 12, apartado 7, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 53 de 25.2.2015, p. 14).
(4) Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (véase la página 7 del presente Diario Oficial).
(5) Decisión de Ejecución (UE) 2015/1505 de la Comisión, de 8 de septiembre de 2015, por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (véase la página 26 del presente Diario Oficial).
ANEXO
Requisitos relativos al conjunto mínimo de datos de identificación de la persona que representen de manera exclusiva a una persona física o jurídica, a que se refiere el artículo 11
1. Conjunto mínimo de datos para una persona física
El conjunto mínimo de datos para una persona física contendrá todos los siguientes atributos obligatorios:
|
a) |
apellido o apellidos actuales; |
|
b) |
nombre o nombres actuales; |
|
c) |
fecha de nacimiento; |
|
d) |
un identificador único confeccionado por el Estado miembro expedidor de conformidad con las especificaciones técnicas para los fines de identificación transfronteriza y que sea tan constante como sea posible a lo largo del tiempo. |
El conjunto mínimo de datos para una persona física podrá contener uno o más de los siguientes atributos adicionales:
|
a) |
nombre o nombres y apellido o apellidos de nacimiento; |
|
b) |
lugar de nacimiento; |
|
c) |
dirección actual; |
|
d) |
sexo. |
2. Conjunto mínimo de datos para una persona jurídica
El conjunto mínimo de datos para una persona jurídica contendrá todos los siguientes atributos obligatorios:
|
a) |
nombre jurídico actual; |
|
b) |
un identificador único confeccionado por el Estado miembro expedidor de conformidad con las especificaciones técnicas para los fines de identificación transfronteriza y que sea tan constante como sea posible a lo largo del tiempo. |
El conjunto mínimo de datos para una persona jurídica podrá contener uno o más de los siguientes atributos adicionales:
|
a) |
dirección actual; |
|
b) |
número de registro de IVA; |
|
c) |
número de referencia fiscal; |
|
d) |
el identificador relacionado con el artículo 3, apartado 1, de la Directiva 2009/101/CE del Parlamento Europeo y del Consejo (1); |
|
e) |
el identificador de entidades jurídicas (LEI) al que se refiere el Reglamento de Ejecución (UE) no 1247/2012 de la Comisión (2); |
|
f) |
el número de registro e identificación de operadores económicos (número EORI) al que se refiere el Reglamento de Ejecución (UE) no 1352/2013 de la Comisión (3); |
|
g) |
número de impuestos especiales indicado en el artículo 2, punto 12, del Reglamento (UE) no 389/2012 del Consejo (4). |
(1) Directiva 2009/101/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, tendente a coordinar, para hacerlas equivalentes, las garantías exigidas en los Estados miembros a las sociedades definidas en el artículo 48, párrafo segundo, del Tratado, para proteger los intereses de socios y terceros (DO L 258 de 1.10.2009, p. 11).
(2) Reglamento de Ejecución (UE) no 1247/2012 de la Comisión, de 19 de diciembre de 2012, por el que se establecen normas técnicas de ejecución relativas al formato y la frecuencia de las notificaciones de operaciones a los registros de operaciones, de conformidad con el Reglamento (UE) no 648/2012 del Parlamento Europeo y del Consejo, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 352 de 21.12.2012, p. 20).
(3) Reglamento de Ejecución (UE) no 1352/2013 de la Comisión, de 4 de diciembre de 2013, por el que se establecen los formularios previstos en el Reglamento (UE) no 608/2013 del Parlamento Europeo y del Consejo, relativo a la vigilancia por parte de las autoridades aduaneras del respeto de los derechos de propiedad intelectual (DO L 341 de 18.12.2013, p. 10).
(4) Reglamento (UE) no 389/2012 del Consejo, de 2 de mayo de 2012, sobre cooperación administrativa en el ámbito de los impuestos especiales y por el que se deroga el Reglamento (CE) no 2073/2004 (DO L 121 de 8.5.2012, p. 1).