Transacciones más seguras en Internet
SÍNTESIS DEL DOCUMENTO:
Reglamento (UE) no 910/2014: relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
SÍNTESIS
¿QUÉ HACE ESTE REGLAMENTO?
-
El Reglamento relativo a la identificación electrónica y los servicios de confianza (eIDAS, por sus siglas en inglés) crea un nuevo sistema para garantizar las interacciones electrónicas en la Unión Europea (UE) entre empresas, ciudadanos y autoridades públicas.
-
Pretende mejorar la confianza en las transacciones electrónicas dentro de la UE, para aumentar la eficacia de los servicios en línea públicos y privados y del comercio electrónico. El Reglamento se aplica a:
-
programas de identificación electrónica (IDE)* notificados a la Comisión Europea por los países de la UE,
-
proveedores de servicios de confianza con sede en la UE.
-
Elimina las barreras existentes para el uso de la IDE en la UE. Por ejemplo, ahora sería sencillo para una empresa portuguesa presentar una oferta para un contrato de servicio público en Suecia, mientras que las concesiones de financiación europea se pueden gestionar totalmente en línea.
PUNTOS CLAVE
Identificación electrónica
-
La IDE emitida por un país de la UE debe ser reconocida por todos los demás. Esto es así solo si la IDE cumple los requisitos del Reglamento y ha sido notificada a la Comisión y publicada en una lista. El reconocimiento mutuo de las IDE será obligatorio a partir del 28 de septiembre de 2018 y facilitará las transacciones electrónicas seguras en la UE.
-
Un sistema de IDE debe especificar uno de los tres niveles deseguridad (bajo, sustancial o alto) para la forma de identificación electrónica emitida en virtud de dicho sistema. El reconocimiento mutuo solo es obligatorio cuando el organismo pertinente del sector público utiliza los niveles «sustancial» o «alto» para acceder a ese servicio en línea.
Notificación
-
A la hora de notificar a la Comisión los sistemas de IDE, los países de la UE deben aportar información sobre aspectos como:
-
el nivel de seguridad y el emisor de la IDE recogidos en el sistema,
-
los sistemas aplicables de supervisión y responsabilidad,
-
el organismo que gestiona el registro de datos únicos de identificación personal.
-
En el supuesto de una violación de la seguridad del sistema de IDE o de la autenticación, el país de la UE que la notifique deberá:
-
suspender o revocar rápidamente la autenticación en toda la UE o las partes comprometidas del sistema e
-
informar a los demás países de la UE y a la Comisión.
Responsabilidad
-
En cualquier transacción entre los países de la UE en la que se incumplan las obligaciones estipuladas en el Reglamento, las siguientes partes podrán ser consideradas responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física u organismo:
-
un país de la UE que efectúe la notificación,
-
la parte que expide la IDE,
-
la parte que gestiona el procedimiento de autenticación.
Cooperación y operabilidad entre los países de la UE
-
Los sistemas nacionales de IDE notificados deben ser interoperables. El marco de interoperabilidad debe ser neutro desde un punto de vista tecnológico y no favorecer a soluciones técnicas nacionales específicas para la IDE.
Servicios de confianza
-
El Reglamento define los servicios de confianza como servicios de pago que incluyen:
-
la creación, la verificación y la validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relacionados con dichos servicios o
-
la creación, la verificación y la validación de certificados para la autenticación de sitios web o
-
la conservación de firmas electrónicas, sellos o certificados relacionados con dichos servicios.
-
Los proveedores de servicios de confianza con sede en la UE son considerados «cualificados» si cumplen con los requisitos aplicables del Reglamento. Están legalmente capacitados para ofrecer servicios de confianza cualificados (por ejemplo, firmas, sellos o certificados electrónicos cualificados) en todos los países de la UE. Los servicios de confianza ofrecidos por proveedores de servicios de terceros países podrán ser reconocidos como legalmente equivalentes a los cualificados, pero solo después de alcanzarse un acuerdo entre la Unión Europea y el tercer país o una organización internacional.
Supervisión
-
Los países de la UE deben designar uno o más organismos para que se encarguen de las actividades de supervisión recogidas en este Reglamento. Cuando proceda, estos organismos deben cooperar con las autoridades de protección de datos.
-
Todos los proveedores de servicios de confianza están sujetos a supervisión y a obligaciones relacionadas con la gestión de riesgos y la notificación de violaciones de la seguridad.
-
Los proveedores de servicios de confianza no cualificados están sometidos a una supervisión menos estricta; esto es, el organismo de supervisión solo actúa si se sospecha una conducta inapropiada por parte del proveedor.
-
Los proveedores de servicios de confianza con sede en la UE están sujetos a una estricta supervisión. Así, son sometidos a una autorización previa por parte de los organismos de supervisión y a una auditoría al menos una vez cada dos años por parte de una organización que evalúa si cumplen los requisitos estipulados en el Reglamento.
-
Una nueva etiqueta de confianza «UE» voluntaria identificará los servicios de confianza cualificados que ofrezcan los proveedores correspondientes.
Una serie de actos adoptados por la Comisión Europea durante 2015 establecen:
¿A PARTIR DE CUÁNDO ESTÁ EN VIGOR ESTE REGLAMENTO?
Entra en vigor a partir del 17 de septiembre de 2014.
TÉRMINO CLAVE
(*) Identificaciones electrónicas (IDE): formas de identificación tangibles o intangibles que contienen datos de identificación personal como los utilizados para autenticar un servicio en línea.
ACTO
Reglamento (UE) no910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, pp. 73-114)
Las modificaciones sucesivas del Reglamento (UE) no 910/2014 se han incorporado al documento original. Esta versión consolidada solo tiene valor documental.
última actualización 17.03.2016