52012SC0136

DOCUMENTO DE TRABAJO DE LOS SERVICIOS DE LA COMISIÓN

RESUMEN DE LA EVALUACIÓN DE IMPACTO

que acompaña al documento

Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

1.           Contexto político, cuestiones de procedimiento y consulta de las partes interesadas

Crear confianza en el entorno en línea es algo esencial para el desarrollo económico. La falta de confianza hace que los consumidores, las empresas y las administraciones vacilen a la hora de realizar transacciones por vía electrónica y adoptar nuevos servicios. La iniciativa relativa a un marco regulador que se propone pretende garantizar unas transacciones electrónicas seguras y sin fisuras entre las empresas, los ciudadanos y las administraciones, reforzando así la eficacia de los servicios electrónicos públicos y privados, de los negocios electrónicos y del comercio electrónico.

Los servicios electrónicos transfronterizos tropiezan con obstáculos que deben ser eliminados. En consecuencia, para incidir positivamente en la productividad, en lugar de obstaculizarla, la identificación, la autenticación y la firma electrónicas, así como los servicios de confianza auxiliares conexos (eIAS), deben ser mutuamente reconocidos y aceptados en toda la UE.

No existe ningún marco general en la UE para los servicios eIAS transfronterizos e intersectoriales. A nivel de la UE, existe un marco jurídico para la firma electrónica, pero no para la identificación y autenticación electrónicas ni para los servicios de confianza auxiliares conexos. La Comisión anunció en la Agenda Digital para Europa que propondría medidas legales en relación con la firma electrónica y para garantizar el reconocimiento mutuo de la identificación y la autenticación electrónicas a fin de eliminar la fragmentación y la ausencia de interoperabilidad, potenciar la ciudadanía digital y prevenir la ciberdelincuencia.

Para llevar a cabo la presente evaluación de impacto, la Comisión ha recogido, en el marco de debates, seminarios y conferencias, los puntos de vista de los Estados miembros, el Parlamento Europeo y las partes interesadas. Se pusieron en marcha varios estudios relacionados con eIAS y se pasó revista a la bibliografía. En 2011 se organizó una consulta pública con objeto de recabar información sobre la manera en que la identificación, la autenticación y la firma electrónicas podían contribuir al mercado único. La consulta se complementó con una encuesta específica destinada a recoger los puntos de vista y las necesidades propias de las PYME.

2.           Definición del problema

Los usuarios pueden encontrar dificultades en lo que se refiere a la utilización transfronteriza de los servicios eIAS. Los principales obstáculos que se oponen a la seguridad y continuidad transfronteriza en relación con ellos son:

1 — Fragmentación del mercado: a los proveedores de servicios se les aplican diferentes normas en función de a qué Estados miembros atienden.

En lo que se refiere a la firma electrónica, la armonización conseguida por la Directiva 1999/93/CE sobre la firma electrónica es imperfecta. Se han detectado cuatro problemas: divergencias en su aplicación a nivel nacional debidas a interpretaciones diferentes de la Directiva por los Estados miembros, acogimiento de facto a una excepción para las aplicaciones del sector público, obsolescencia de las normas y obligaciones de supervisión poco claras que se traducen en problemas de interoperabilidad transfronteriza, segmentación en la UE y falseamientos del mercado interior.

En lo que se refiere a la identificación electrónica, las diferentes soluciones tecnológicas para la identificación personal en los distintos Estados miembros, la falta de seguridad jurídica sobre la utilización transfronteriza de las identificaciones electrónicas y la falta de responsabilidad clara en relación con la exactitud de los datos de identidad se traducen en problemas de interoperabilidad.

En lo que se refiere a los servicios de confianza auxiliares, la inexistencia de un marco jurídico de la UE se traduce en la adopción de disposiciones nacionales para algunos de estos servicios en determinados Estados miembros y en altos costes para los proveedores que desean ofrecer sus servicios en varios Estados miembros. Ambas situaciones generan obstáculos al mercado interior y fragmentación.

2 — Falta de confianza: la falta de confianza en los sistemas electrónicos, las herramientas facilitadas y el marco jurídico puede crear la impresión de que existen menos garantías jurídicas que en la interacción física.

En el caso de la firma electrónica, los requisitos de supervisión nacionales son cualitativamente diferentes de un Estado miembro a otro, por lo que resulta complejo para las partes que recurren a la firma electrónica evaluar qué supervisión tiene un proveedor de servicios.

En el caso de la identificación electrónica y los servicios de confianza auxiliares, la heterogeneidad de las legislaciones nacionales hace difícil que los usuarios se sientan seguros cuando interactúan en línea en situaciones transfronterizas.

Los cuatro factores principales que explican estos problemas son:

A: Insuficiencia del ámbito de aplicación del marco jurídico actual

Los servicios eIAS constituyen requisitos previos de una amplia gama de interacciones electrónicas, por ejemplo en la banca, la administración pública y la sanidad. A nivel de la UE, existe un marco regulador limitado e imperfecto que se centra esencialmente en la firma electrónica. No existe ningún marco específico para el reconocimiento y aceptación mutuos de identificaciones electrónicas o para servicios de confianza auxiliares tales como las marcas de tiempo o los sellos electrónicos.

B: Falta de coordinación entre el desarrollo de la firma electrónica y de la identificación electrónica

Las infraestructuras nacionales de eIAS se han desarrollado de manera aislada, sin coordinación a escala de la UE. La consiguiente falta de interoperabilidad transfronteriza de las soluciones técnicas obstaculiza las transacciones electrónicas. La falta de reconocimiento y aceptación mutuos es uno de los motivos por los que tanto los usuarios como los proveedores de servicios electrónicos son escépticos en cuanto a la implantación de eIAS.

C: Falta de transparencia en las garantías de seguridad

Si se desea crear soluciones dignas de confianza, es imprescindible una seguridad vigorosa y armonizada. Tal es particularmente el caso en lo que se refiere al acceso a servicios en que se manejan datos personales sensibles, como la sanidad electrónica. La Directiva 99/93/CE reconoce que solo puede concederse seguridad jurídica a las firmas electrónicas que garantizan la seguridad y, en consecuencia, están suficientemente protegidas contra la falsificación o el fraude (firmas electrónicas avanzadas y cualificadas).

Los usuarios consideran que la falta de sistemas de identificación electrónica seguros constituye un obstáculo importante. La ausencia de un marco jurídico armonizado para la identificación electrónica impide determinar objetivamente a través de las fronteras la seguridad y fiabilidad de las identificaciones oficiales. Esto genera barreras transfronterizas, la consiguiente falta de confianza y un mercado fragmentado.

Otro motivo de preocupación es el robo de la identidad. Las identificaciones electrónicas seguras pueden ayudar a reducir este riesgo. Por el contrario, las poco seguras facilitan a los delincuentes la obtención de una identificación electrónica falsa o comprometida.

D: Falta de sensibilización/adopción por el usuario

La complejidad de las tecnologías utilizadas para las transacciones electrónicas y el papel fundamental desempeñado por los terceros de confianza crean un entorno en el que es difícil evaluar la confianza. En particular, los usuarios finales, que generalmente no tienen suficientes conocimientos técnicos, deben poder apoyarse en normas que establezcan claramente los derechos y responsabilidades de todas las partes interesadas (proveedores de servicios de confianza, usuarios finales y organismos de gobernanza).

3.           Escenario de referencia

El escenario de referencia de la iniciativa es la ausencia de cualquier nueva intervención reguladora. Se prevé que, en este escenario, los problemas actuales evolucionarían como sigue:

No se resolverían los problemas de fragmentación e interoperabilidad: Los Estados miembros seguirían probablemente aplicando y haciendo cumplir la Directiva 99/93/CE.

No quedaría garantizada la seguridad jurídica: Los problemas generados por la falta de reconocimiento mutuo de las firmas electrónicas y por la ausencia de un marco jurídico que regule el reconocimiento y aceptación mutuos de la identificación electrónica y los servicios de confianza auxiliares impediría el reconocimiento jurídico de diversas interacciones transfronterizas.

Las necesidades de los usuarios no se verían completamente satisfechas: Con arreglo al marco actual, no es posible aprovechar plenamente las oportunidades que ofrece el progreso tecnológico.

No se cosecharían todos los frutos de las principales iniciativas europeas: Políticas de la UE tales como las Directivas de servicios, contratación pública o IVA (facturas electrónicas), o los proyectos piloto a gran escala PAP-TIC[1] que luchan por eliminar los problemas en materia de interoperabilidad y reconocimiento transfronterizo relacionados con determinados tipos de interacciones electrónicas, podrían operar únicamente a nivel piloto dada la ausencia de un marco legislativo intersectorial.

4.           Objetivos políticos

Se han descrito cuatro objetivos generales: garantizar el desarrollo de un mercado único digital; promover el desarrollo de servicios públicos transfronterizos clave; estimular y reforzar la competencia en el mercado único; mejorar la facilidad de uso (ciudadanos y empresas). Estos objetivos están en consonancia con políticas estratégicas de la UE, tales como la Estrategia EU 2020, la Agenda Digital para Europa, el Acta del Mercado Único y la Hoja de Ruta para la Estabilidad y el Crecimiento.

Los objetivos específicos expresan los resultados deseados en relación con el mercado eIAS (el «qué»), de la consecución del objetivo operativo (el «cómo»). Para cada objetivo específico, se indica una serie de objetivos operativos.

5.           Opciones políticas

Para solucionar los problemas y alcanzar los objetivos indicados, se evaluaron tres grupos de opciones: 1) ámbito de aplicación del marco previsto, 2) instrumento jurídico y 3) nivel de supervisión:

· Dentro del primer grupo, «ámbito de aplicación del marco», se examinaron cuatro opciones:

Opción 0:      Derogación de la Directiva 1999/93/CE y supresión de las actividades reguladoras relativas a la identificación electrónica o los servicios de confianza auxiliares.

Esta opción consiste en el cese de todas las actividades de la UE en el ámbito de la firma electrónica. La Directiva 99/93/CE quedaría derogada y no se propondría ninguna medida legislativa para el reconocimiento mutuo de la identificación electrónica.

· Opción 1: Mantenimiento de la política actual (escenario de referencia).

La Directiva 99/93/CE se mantendría tal cual. No se propondría ninguna legislación sobre identificación electrónica.

· Opción 2:      Aumentar la seguridad jurídica, estimular la coordinación de la supervisión nacional y garantizar el reconocimiento y aceptación mutuos de las identificaciones electrónicas

Se ampliaría el ámbito de aplicación de la Directiva 1999/93/CE incluyendo disposiciones sobre el reconocimiento y aceptación transfronterizos de los «sistemas de identificación electrónica notificados»[2]. Las disposiciones de la Directiva sobre la firma electrónica serían revisadas para subsanar sus actuales insuficiencias y, de este modo, armonizar mejor los modelos de supervisión nacionales.

· Opción 3:      Ampliación para incorporar determinados servicios de confianza auxiliares

Esta opción amplía la opción 2 al incluir en el ámbito de aplicación de la propuesta algunos servicios de confianza auxiliares y credenciales.

Los elementos auxiliares esenciales incorporados a la legislación serían: marcas de tiempo, sellos electrónicos, conservación a largo plazo de la información, entrega certificada de documentos electrónicos, admisibilidad de documentos electrónicos y autenticación de sitios web.

· Dentro del segundo grupo, referente al «instrumento jurídico», se consideraron cuatro opciones:

Un instrumento legislativo global (opción A) o bien dos separados (opción B).

La legislación podría constar de una sola medida global que cubriera la identificación, la autenticación y la firma electrónicas o de dos instrumentos, a saber, una Decisión de la Comisión sobre la identificación electrónica y una revisión de la Directiva sobre la firma electrónica.

Una Directiva (opción C) o un Reglamento (opción D):

La legislación podría revestir la forma de una Directiva o de un Reglamento.

· Dentro del tercero, «supervisión», se examinaron dos opciones:

Opción i): Mantenimiento de los sistemas de supervisión nacionales

Se mantienen los actuales sistemas de supervisión de ámbito nacional, pero con una mayor armonización a través de requisitos esenciales comunes.

Opción ii): Establecimiento de un sistema de supervisión basado en la UE

Se crearía un sistema de supervisión basado en la UE para reducir o eliminar las diferencias entre las disposiciones de supervisión nacionales. Podría adoptar cualquiera de estas dos formas:

Subopción a:    sustitución de los sistemas de supervisión nacionales existentes por un único sistema y organismo de supervisión de la UE.

Subopción b:    creación de un sistema y organismo de supervisión de la UE, pero manteniendo en paralelo los sistemas de supervisión nacionales (cada Estado miembros podría elegir su propio sistema o el europeo).

6.           Comparación de las opciones políticas y de sus impactos

Las opciones políticas han sido evaluadas y comparadas con el escenario de referencia (opción 1) en términos de eficacia, eficiencia y coherencia.

6.1.        Ámbito de aplicación del marco

La opción 0 no ayudaría a alcanzar los objetivos señalados en el informe de evaluación del impacto. No se conseguiría incrementar la disponibilidad y la asimilación de los servicios eIAS transfronterizos e intersectoriales, ni garantizar un nivel de gobernanza óptimo, ni fomentar la evolución del mercado, ni contribuir a la consolidación de la competitividad de la industria europea y de los sectores de servicios, ni garantizar que todos los usuarios finales puedan beneficiarse de las ventajas de los servicios eIAS. Por el contrario, se obstaculizarían los avances tecnológicos en el mercado de eIAS, se trastocaría el proceso actual de trabajo en pos de unos servicios electrónicos transfronterizos y se mantendría la fragmentación del mercado europeo y la desigualdad en materia de confianza.

La opción 1 no permitiría alcanzar los objetivos. Se mantendrían las actuales ambigüedades y permanecerían las desigualdades en cuanto a la supervisión. Persistiría la inseguridad jurídica y la situación de segmentación seguiría desarrollándose, con lo que se falsearían las condiciones de la competencia en el mercado interior y aumentaría la probabilidad de que surgieran planteamientos diferentes a nivel nacional.

La opción 2 reforzaría la seguridad jurídica, impulsaría la supervisión y garantizaría el reconocimiento y aceptación mutuos de las identificaciones electrónicas, contribuyendo significativamente a alcanzar cada uno de los objetivos indicados en el informe de la EI y aportando resultados económicos, sociales y ambientales positivos.

Los servicios eIAS tendrían mayor atractivo y se incrementaría el rendimiento de las inversiones realizadas en infraestructuras y servicios eIAS. Asimismo, se dispondría de eIAS en todos los sectores y en todos los tipos de empresas, eliminando las barreras transfronterizas. Se abrirían nuevos mercados y nuevas inversiones, fomentando de esa forma la innovación.

La actual fragmentación del mercado se reduciría, pues mejoraría la interoperabilidad transfronteriza al resultar posible la referencia a normas técnicas.

El reconocimiento y la aceptación mutuos de la identificación electrónica desmantelarían aún más las actuales barreras al mercado único. Por último, es probable que la homogeneidad en la supervisión derivada de los requisitos esenciales comunes incrementara la confianza, facilitara la detección del fraude y contribuyera a prevenir la usurpación de la identidad.

Con la opción 3 los servicios eIAS resultarían incluso más atractivos y se reforzarían sus efectos positivos al ampliar el marco mediante la incorporación de determinados servicios de confianza auxiliares esenciales.

Se considera que la opción 3 es más adecuada que las opciones 0, 1 o 2 para obtener un impacto significativo en unas transacciones electrónicas seguras y de fácil utilización.

6.2.        Instrumento jurídico

Ofrecer un marco completo con un solo instrumento garantizaría la coherencia de la legislación que regula los diferentes aspectos de eIAS. Dos instrumentos independientes podrían introducir divergencias en las disposiciones jurídicas adoptadas para la firma electrónica y la identificación electrónica y, lo que es más importante, en el enfoque de las iniciativas.

La adopción de una Directiva no contribuiría a resolver los actuales problemas de interoperabilidad de la firma electrónica derivados de las divergencias en la transposición de la Directiva 1999/93/CE. Un Reglamento prevé la aplicabilidad inmediata sin interpretación y, por consiguiente, una mayor armonización, resultando por tanto más adecuado para alcanzar los objetivos de la legislación propuesta.

Un único Reglamento parece ser la manera más efectiva de alcanzar los objetivos.

6.3.        Nivel de supervisión

En la opción «i», la nueva legislación mantendría los actuales sistemas de supervisión de ámbito nacional e impondría unos requisitos esenciales comunes a los proveedores de servicios. Un enfoque armonizado a nivel de la UE tanto para la firma electrónica como para los servicios de confianza auxiliares mejoraría la supervisión eficaz, potenciaría la seguridad jurídica y aumentaría la confianza y la seguridad de las transacciones electrónicas.

La opción «ii» aportaría una supervisión homogénea, eficiente y de alta calidad en toda la UE. La subopción «b» tiene la ventaja de ofrecer una mayor flexibilidad que con el organismo de supervisión único de la UE previsto en la subopción «a»: para los Estados miembros en los que haya establecidos pocos o ningún proveedor de servicios de confianza podría ser ventajoso transferir las labores de supervisión a un organismo de supervisión de la UE. Otros Estados miembros podrían, si lo desean, mantener su sistema de supervisión. Sin embargo, un modelo de supervisión centralizado de la UE plantea problemas en relación con la subsidiariedad.

El respeto del principio de subsidiariedad sugiere que la opción «i» es la más adecuada.

7.           Justificación de la acción de la UE, su valor añadido y la subsidiariedad

Al igual que en el caso de la Directiva 1999/93/CE, la base jurídica de la propuesta legislativa es el artículo 114 del TFUE, relativo al mercado interior, ya que pretende suprimir los obstáculos que se oponen al funcionamiento del mercado interior fomentando el reconocimiento y la aceptación mutuos de la identificación, la autenticación y la firma electrónicas y los servicios de confianza auxiliares a través de las fronteras cuando sea necesario para las transacciones electrónicas.

Debido a la naturaleza intrínsecamente no territorial de los servicios eIAS, la actuación a nivel de la UE es adecuada y proporcionada para la consecución del mercado único digital. No cabe esperar que las medidas reguladoras adoptadas a nivel de Estado miembro alcancen el mismo resultado. Así pues, la intervención de la UE es necesaria, adecuada y justificada.

8.           Seguimiento y evaluación

La Comisión supervisaría la aplicación de la legislación a través del diálogo permanente con las partes interesadas y la recopilación de estadísticas e informaría al Parlamento Europeo y al Consejo sobre el impacto de la nueva legislación a los cuatro años de su entrada en vigor.

[1]               http://ec.europa.eu/information_society/activities/ict_psp/about.

[2]               «eID notificado»: el sistema de eID notificado por un Estado miembro a la Comisión para su reconocimiento y aceptación a través de las fronteras. El concepto de identificación electrónica notificada no se limita a las expedidas por el sector público. Los Estados miembros podrían también notificar las eID expedidas por el sector privado que reconocen para sus propios servicios del sector público. Este enfoque es necesario, ya que no todas las autoridades de los Estados miembros expiden eID. El enfoque intersectorial de la legislación permitiría al sector privado integrar el uso de identificaciones electrónicas notificadas en los servicios electrónicos cuando se necesite una identificación segura.