This document is an excerpt from the EUR-Lex website
Document 02014R0910-20240520
Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
Consolidated text: Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE
Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE
02014R0910 — ES — 20.05.2024 — 001.001
Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento
|
REGLAMENTO (UE) N o 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior ►C2 y por el que se deroga la Directiva 1999/93/CE ◄ (DO L 257 de 28.8.2014, p. 73) |
Modificado por:
|
|
|
Diario Oficial |
||
|
n° |
página |
fecha |
||
|
REGLAMENTO (UE) 2024/1183 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 11 de abril de 2024 |
L 1183 |
1 |
30.4.2024 |
|
Rectificado por:
REGLAMENTO (UE) N o 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 23 de julio de 2014
relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior ►C2 y por el que se deroga la Directiva 1999/93/CE ◄
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto
El presente Reglamento tiene por objeto garantizar el correcto funcionamiento del mercado interior y la existencia de un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza utilizados en toda la Unión, a fin de permitir y facilitar que las personas físicas y jurídicas ejerzan el derecho a participar en la sociedad digital de forma segura y a acceder a los servicios públicos y privados en línea en toda la Unión. A tales efectos, el presente Reglamento:
establece las condiciones en las cuales los Estados miembros reconocerán los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro y en las que proporcionarán y reconocerán las carteras europeas de identidad digital;
establece normas para los servicios de confianza, en particular para las transacciones electrónicas;
establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada, los servicios certificados para la autenticación de sitios web, el archivo electrónico, la declaración electrónica de atributos, los dispositivos de creación de firmas electrónicas y de sellos electrónicos, y los libros mayores electrónicos.
Artículo 2
Ámbito de aplicación
Artículo 3
Definiciones
A efectos del presente Reglamento, se aplicarán las siguientes definiciones:
«identificación electrónica», proceso consistente en utilizar los datos de identificación de la persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica;
«medios de identificación electrónica», unidad material yo inmaterial que contiene los datos de identificación de la persona y que se utiliza para la autenticación en servicios en línea o, cuando proceda, en servicios fuera de línea;
«datos de identificación de la persona», conjunto de datos que se emite de conformidad con el Derecho de la Unión o nacional y permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a otra persona física o a una persona jurídica;
«sistema de identificación electrónica», régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a personas físicas o jurídicas o a personas físicas que representan a otras personas físicas o personas jurídicas;
«autenticación», proceso electrónico que permite la confirmación de la identificación electrónica de una persona física o jurídica, o la confirmación del origen y la integridad de datos en formato electrónico;
«usuario», persona física o jurídica, o persona física que representa a otra persona física o a una persona jurídica, que utiliza servicios de confianza o medios de identificación electrónica prestados de conformidad con el presente Reglamento;
«parte usuaria», persona física o jurídica que confía en la identificación electrónica, las carteras europeas de identidad digital u otros medios de identificación electrónica, o en un servicio de confianza;
«organismo del sector público», las autoridades estatales, regionales o locales, los organismos de Derecho público y las asociaciones formadas por una o varias de estas autoridades o uno o varios de estos organismos de Derecho público, o las entidades privadas mandatarias de al menos una de estas autoridades, organismos o asociaciones para prestar servicios públicos actuando en esa calidad;
«organismo de Derecho público», el definido en el artículo 2, apartado 1, punto 4, de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo ( 2 );
«firmante», una persona física que crea una firma electrónica;
«firma electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar;
«firma electrónica avanzada», la firma electrónica que cumple los requisitos contemplados en el artículo 26;
«firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica;
«datos de creación de la firma electrónica», los datos únicos que utiliza el firmante para crear una firma electrónica;
«certificado de firma electrónica», una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona;
«certificado cualificado de firma electrónica», un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo I;
«servicio de confianza», servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en cualquiera de las actividades siguientes:
la expedición de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;
la validación de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;
la creación de firmas electrónicas o sellos electrónicos;
la validación de firmas electrónicas o sellos electrónicos;
la conservación de firmas electrónicas, sellos electrónicos, certificados de firma electrónica o certificados de sello electrónico;
la gestión de dispositivos de creación de firma electrónica a distancia o dispositivos de creación de sello electrónico a distancia;
la expedición de declaraciones electrónicas de atributos;
la validación de declaraciones electrónicas de atributos;
la creación de sellos de tiempo electrónicos;
la validación de sellos de tiempo electrónicos;
la prestación de servicios de entrega electrónica certificada;
la validación de los datos transmitidos a través de servicios de entrega electrónica certificada y las pruebas correspondientes;
el archivo electrónico de datos y documentos electrónicos;
la actividad de registro de datos electrónicos en un libro mayor electrónico.
«servicio de confianza cualificado», un servicio de confianza que cumple los requisitos aplicables establecidos en el presente Reglamento;
«organismo de evaluación de la conformidad», organismo de evaluación de la conformidad definido en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008, cuya competencia para realizar una evaluación de la conformidad de un prestador cualificado de servicios de confianza y de los servicios de confianza cualificados que este presta, o cuya competencia para certificar carteras europeas de identidad digital o medios de identificación electrónica, esté acreditada en virtud de dicho Reglamento;
«prestador de servicios de confianza», una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o ►C2 como prestador no cualificado de servicios de confianza ◄ ;
«prestador cualificado de servicios de confianza», un prestador de servicios de confianza que presta uno o varios servicios de confianza cualificados y al que el organismo de supervisión ha concedido la cualificación;
«producto», equipo o programa informático o sus componentes correspondientes, destinado a ser utilizado para la prestación de servicios de identificación electrónica y servicios de confianza;
«dispositivo de creación de firma electrónica», un equipo o programa informático configurado que se utiliza para crear una firma electrónica;
«dispositivo cualificado de creación de firma electrónica», un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II;
«dispositivo cualificado de creación de firma electrónica a distancia», dispositivo cualificado de creación de firmas electrónicas que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 29 bis, en nombre de un firmante;
«dispositivo cualificado de creación de sello electrónico a distancia», dispositivo cualificado de creación de sellos electrónicos que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 39 bis, en nombre de un creador de sellos;
«creador de un sello», una persona jurídica que crea un sello electrónico;
«sello electrónico», datos en formato electrónico anejos a otros datos en formato electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de estos últimos;
«sello electrónico avanzado», un sello electrónico que cumple los requisitos contemplados en el artículo 36;
«sello electrónico cualificado», un sello electrónico avanzado que se crea mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello electrónico;
«datos de creación del sello electrónico», los datos únicos que utiliza el creador del sello electrónico para crearlo;
«certificado de sello electrónico», una declaración electrónica que vincula los datos de validación de un sello con una persona jurídica y confirma el nombre de esa persona;
«certificado cualificado de sello electrónico», un certificado de sellos electrónicos que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo III;
«dispositivo de creación de sello electrónico», un equipo o programa informático configurado que se utiliza para crear un sello electrónico;
«dispositivo cualificado de creación de sello electrónico», un dispositivo de creación de sellos electrónicos que cumple mutatis mutandis los requisitos enumerados en el anexo II;
«sello de tiempo electrónico», datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante;
«sello cualificado de tiempo electrónico», un sello de tiempo electrónico que cumple los requisitos establecidos en el artículo 42;
«documento electrónico», todo contenido almacenado en formato electrónico, en particular, texto o registro sonoro, visual o audiovisual;
«servicio de entrega electrónica certificada», un servicio que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizada;
«servicio cualificado de entrega electrónica certificada», un servicio de entrega electrónica certificada que cumple los requisitos establecidos en el artículo 44;
«certificado de autenticación de sitio web», declaración electrónica que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;
«certificado cualificado de autenticación de sitio web», un certificado de autenticación de sitio web expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo IV;
«datos de validación», los datos utilizados para validar una firma electrónica o un sello electrónico;
«validación», proceso consistente en verificar y confirmar que los datos en formato electrónico son válidos de conformidad con el presente Reglamento;
«cartera europea de identidad digital», medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura datos de identificación de la persona y declaraciones electrónicas de atributos con el fin de proporcionarlos a las partes usuarias y a otros usuarios de carteras europeas de identidad digital, así como firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;
«atributo», característica, cualidad, derecho o permiso de una persona física o jurídica o de un objeto;
«declaración electrónica de atributos», declaración en formato electrónico que permite la autenticación de atributos;
«declaración electrónica cualificada de atributos», declaración electrónica de atributos expedida por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo V;
«declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este», declaración electrónica de atributos expedida por un organismo del sector público que sea responsable de una fuente auténtica o por un organismo del sector público que sea designado por el Estado miembro para expedir dichas declaraciones de atributos en nombre de los organismos del sector público responsables de las fuentes auténticas de conformidad con el artículo 45 septies y con el anexo VII;
«fuente auténtica», repositorio o sistema, mantenido bajo la responsabilidad de un organismo del sector público o de una entidad privada, que contiene y proporciona atributos acerca de una persona física o jurídica, o de un objeto, y que se considera una fuente principal de dicha información, o que está reconocido como auténtico de conformidad con el Derecho de la Unión o nacional, incluidas las prácticas administrativas;
«archivo electrónico», servicio que garantiza la recepción, el almacenamiento, la recuperación y la eliminación de datos electrónicos y documentos electrónicos para asegurar su durabilidad y legibilidad, así como para preservar su integridad, confidencialidad y prueba de origen durante todo el período de conservación;
«servicio cualificado de archivo electrónico», servicio de archivo electrónico prestado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 undecies;
«etiqueta de confianza de la UE para la cartera de identidad digital», indicación verificable, sencilla y reconocible formulada de manera clara, de que la cartera europea de identidad digital de que se trate se ha proporcionado de conformidad con el presente Reglamento;
«autenticación reforzada de usuario», autenticación basada en la utilización de al menos dos factores de identificación de diferentes categorías, ya sea conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) o inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación;
«libro mayor electrónico», secuencia de registros electrónicos de datos que garantiza la integridad de dichos registros y la exactitud de su orden cronológico;
«libro mayor electrónico cualificado», libro mayor electrónico proporcionado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 terdecies;
«datos personales», toda información en el sentido del artículo 4, punto 1, del Reglamento (UE) 2016/679;
«correspondencia de la identidad», proceso por el cual se establece una correspondencia o vínculo entre los datos o medios de identificación electrónica y una cuenta existente perteneciente a esa misma persona;
«registro de datos», datos electrónicos registrados con metadatos relacionados que respaldan el tratamiento de los datos;
«modo fuera de línea», en lo que respecta al uso de las carteras europeas de identidad digital, interacción entre un usuario y un tercero que tiene lugar en una ubicación física utilizando tecnologías de proximidad inmediata, sin necesidad de que la cartera europea de identidad digital acceda a sistemas a distancia a través de redes de comunicaciones electrónicas a efectos de la interacción.
Artículo 4
Principio del mercado interior
Artículo 5
Seudónimos en transacciones electrónicas
Sin perjuicio de las normas específicas del Derecho de la Unión o nacional que exijan a los usuarios identificarse o de los efectos jurídicos que el Derecho nacional contemple para los seudónimos, no se prohibirá la utilización de seudónimos escogidos por los usuarios.
CAPÍTULO II
IDENTIFICACIÓN ELECTRÓNICA
SECCIÓN 1
cartera europea de identidad digital
Artículo 5 bis
Carteras europeas de identidad digital
Las carteras europeas de identidad digital se proporcionarán de una o varias de las maneras siguientes:
directamente por un Estado miembro;
con arreglo a un mandato de un Estado miembro;
de manera independiente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.
Las carteras europeas de identidad digital permitirán al usuario, de manera intuitiva, transparente y rastreable por el usuario:
solicitar, obtener, seleccionar, combinar, almacenar, eliminar, compartir y presentar de forma segura, bajo el control exclusivo del usuario, datos de identificación de la persona y, cuando proceda, en combinación con declaraciones electrónicas de atributos, autenticarse ante partes usuarias en línea y, en su caso, en modo fuera de línea, con el fin de acceder a servicios públicos y privados, velando al mismo tiempo por que sea posible divulgar los datos selectivamente;
generar seudónimos y almacenarlos cifrados y localmente en la cartera europea de identidad digital;
autenticar de forma segura la cartera europea de identidad digital de otra persona, así como recibir y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura entre las dos carteras europeas de identidad digital;
acceder a un registro de todas las transacciones realizadas a través de la cartera europea de identidad digital mediante un panel común que permita al usuario:
ver una lista actualizada de las partes usuarias con las que ha establecido una conexión y, en su caso, todos los datos intercambiados,
solicitar fácilmente a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,
notificar fácilmente una parte usuaria a la autoridad nacional de protección de datos en los casos en los que se reciba una solicitud de datos presuntamente ilícita o sospechosa;
firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;
descargar, en la medida en que sea técnicamente viable, los datos, la declaración electrónica de atributos y las configuraciones del usuario;
ejercer los derechos del usuario a la portabilidad de los datos.
En particular, las carteras europeas de identidad digital:
admitirán protocolos e interfaces comunes:
para expedir datos de identificación de la persona, declaraciones electrónicas cualificadas y no cualificadas de atributos o certificados cualificados y no cualificados para la cartera europea de identidad digital,
para que las partes usuarias soliciten y validen datos de identificación de la persona y declaraciones electrónicas de atributos,
para compartir con las partes usuarias, y presentarles, datos de identificación de la persona, una declaración electrónica de atributos o datos conexos divulgados selectivamente, en línea y, cuando proceda, en modo fuera de línea,
para que el usuario permita la interacción con la cartera europea de identidad digital y muestre una etiqueta de confianza de la UE para la cartera de identidad digital,
para incorporar al usuario de manera segura utilizando un medio de identificación electrónica de conformidad con el artículo 5 bis, apartado 24,
para permitir la interacción entre las carteras europeas de identidad digital de dos personas a fin de recibir, validar y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura,
para autenticar e identificar a partes usuarias aplicando mecanismos de autenticación de conformidad con el artículo 5 ter,
para que las partes usuarias verifiquen la autenticidad y la validez de las carteras europeas de identidad digital,
para solicitar a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,
para denunciar a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud de datos presuntamente ilícita o sospechosa,
para crear firmas electrónicas o sellos electrónicos cualificados mediante dispositivos cualificados de creación de firma electrónica o sello electrónico;
no facilitarán información alguna a los prestadores de servicios de confianza de declaraciones electrónicas de atributos sobre el uso de dichas declaraciones electrónicas;
garantizarán que la identidad de las partes usuarias pueda autenticarse e identificarse mediante la aplicación de mecanismos de autenticación de conformidad con el artículo 5 ter;
cumplirán los requisitos establecidos en el artículo 8 en lo referente al nivel de seguridad alto, en particular en lo que sea aplicable a los requisitos de acreditación y verificación de la identidad, así como a la gestión y autenticación de medios de identificación electrónica;
en el caso de las declaraciones electrónicas de atributos con políticas de divulgación incorporadas, aplicarán el mecanismo adecuado para informar al usuario de que la parte usuaria o el usuario de la cartera europea de identidad digital solicitante de la declaración electrónica de atributos tiene permiso para acceder a dicha declaración;
garantizarán que los datos de identificación personal disponibles a través del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital correspondan de forma única, a la persona física, la persona jurídica o la persona física que representa a la persona física o jurídica y estén asociados con esa cartera europea de identidad digital;
ofrecerán a todas las personas físicas la posibilidad de firmar, por defecto y de forma gratuita, mediante firmas electrónicas cualificadas.
No obstante lo dispuesto en el párrafo primero, letra g), los Estados miembros podrán establecer medidas proporcionadas para garantizar que el uso gratuito de las firmas electrónicas cualificadas por parte de las personas físicas se limite a fines no profesionales.
Los Estados miembros proporcionarán mecanismos de validación gratuitos a fin de:
garantizar que se pueda verificar la autenticidad y validez de las carteras europeas de identidad digital;
permitir que los usuarios verifiquen la autenticidad y validez de la identidad de las partes usuarias registradas de conformidad con el artículo 5 ter.
Los Estados miembros velarán por que la validez de la cartera europea de identidad digital pueda revocarse en las siguientes circunstancias:
a petición expresa del usuario;
cuando la seguridad de la cartera europea de identidad digital se haya visto comprometida;
en caso de fallecimiento del usuario o cese de actividad de la persona jurídica.
El marco técnico de la cartera europea de identidad digital:
no permitirá que, tras la expedición de la declaración de atributos, los prestadores de declaraciones electrónicas de atributos o cualquier otra parte obtengan datos que permitan que se rastree, vincule o correlacione, u obtener de cualquier otra manera, conocimiento de las transacciones o del comportamiento del usuario a menos que este lo autorice explícitamente;
permitirá tecnologías de protección de la privacidad que garanticen la no vinculación, cuando la declaración de atributos no requiera la identificación del usuario.
Sin dilación indebida, los Estados miembros comunicarán a la Comisión información sobre:
el organismo responsable de establecer y mantener la lista de partes usuarias registradas que utilizan las carteras europeas de identidad digital de conformidad con el artículo 5 ter, apartado 5, y la localización de dicha lista;
los organismos responsables de la provisión de carteras europeas de identidad digital de conformidad con el artículo 5 bis, apartado 1;
los organismos responsables de garantizar que los datos de identificación de la persona estén asociados a la cartera europea de identidad digital de conformidad con el artículo 5 bis, apartado 5, letra f);
el mecanismo que permite validar los datos de identificación de la persona a que se refiere el artículo 5 bis, apartado 5, letra f), y la identidad de las partes usuarias;
el mecanismo para validar la autenticidad y la validez de las carteras europeas de identidad digital.
La Comisión pondrá a disposición del público la información notificada en virtud del párrafo primero, a través de un canal seguro, la información a que se refiere el presente apartado en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.
Artículo 5 ter
Partes usuarias de las carteras europeas de identidad digital
El proceso de registro tendrá un coste razonable y proporcional al riesgo. La parte usuaria proporcionará, como mínimo:
la información necesaria para autenticarse en las carteras europeas de identidad digital, lo que como mínimo incluye:
el Estado miembro en el que la parte usuaria tiene su sede, y
el nombre de la parte usuaria y, en su caso, su número de registro tal como figura en un registro oficial, junto con los datos de identificación de dicho registro oficial;
los datos de contacto de la parte usuaria;
el uso previsto de las carteras europeas de identidad digital, incluida una mención de los datos que la parte usuaria solicitará a los usuarios.
Artículo 5 quater
Certificación de las carteras europeas de identidad digital
Artículo 5 quinquies
Publicación de una lista de carteras europeas de identidad digital certificadas
Sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 18, la información facilitada por los Estados miembros mencionada en el apartado 1 del presente artículo incluirá, como mínimo:
el certificado y el informe de evaluación de la certificación de la cartera europea de identidad digital certificada;
una descripción del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital;
el régimen de supervisión aplicable y la información sobre el régimen de responsabilidades respecto de la parte que proporciona la cartera europea de identidad digital;
la autoridad o autoridades responsables del sistema de identificación electrónica;
disposiciones relativas a la suspensión o revocación del sistema de identificación electrónica de la autenticación o de las partes afectadas.
Artículo 5 sexies
Violación de la seguridad de las carteras europeas de identidad digital
Cuando la gravedad de la violación o el compromiso de seguridad a que se refiere párrafo primero lo justifique, el Estado miembro retirará sin dilación indebida las carteras europeas de identidad digital.
El Estado miembro informará de ello a los usuarios afectados, a los puntos de contacto únicos designados con arreglo al artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.
Artículo 5 septies
Uso transfronterizo de las carteras europeas de identidad digital
SECCIÓN 2
sistemas de identificación electrónica
Artículo 6
Reconocimiento mutuo
Cuando sea necesaria una identificación electrónica utilizando un medio de identificación electrónica y una autenticación en virtud de la normativa o la práctica administrativa nacionales para acceder a un servicio prestado en línea por un organismo del sector público en un Estado miembro, se reconocerá en dicho Estado miembro, a efectos de la autenticación transfronteriza en dicho servicio en línea, el medio de identificación electrónica expedido en otro Estado miembro, siempre que:
este medio de identificación electrónica haya sido expedido en virtud de un sistema de identificación electrónica incluido en la lista publicada por la Comisión de conformidad con el artículo 9;
el nivel de seguridad de este medio de identificación electrónica corresponda a un nivel de seguridad igual o superior al nivel de seguridad requerido por el organismo del sector público para acceder a dicho servicio en línea en el primer Estado miembro, siempre que el nivel de seguridad de dicho medio de identificación electrónica corresponda a un nivel de seguridad sustancial o alto;
el organismo público en cuestión utilice un nivel de seguridad sustancial o alto en relación con el acceso a ese servicio en línea.
Este reconocimiento se producirá a más tardar 12 meses después de que la Comisión publique la lista a que se refiere la letra a) del párrafo primero.
Artículo 7
Condiciones para la notificación de los sistemas de identificación electrónica
Un sistema de identificación electrónica podrá ser objeto de notificación con arreglo al artículo 9, apartado 1, si se cumplen la totalidad de las condiciones siguientes:
que los medios de identificación electrónica en virtud del sistema de identificación electrónica hayan sido expedidos:
por el Estado miembro que efectúa la notificación,
por mandato del Estado miembro que efectúa la notificación, o
independientemente del Estado miembro que efectúa la notificación y reconocidos por dicho Estado miembro;
que los medios de identificación electrónica en virtud del sistema de identificación electrónica puedan usarse para acceder al menos a un servicio prestado por un organismo del sector público que exija la identificación electrónica en el Estado miembro que efectúa la notificación;
que tanto el sistema de identificación electrónica como los medios de identificación electrónicos en su virtud expedidos cumplan los requisitos de al menos uno de los niveles de seguridad previstos en el acto de ejecución a que hace referencia el artículo 8, apartado 3;
que el Estado miembro que efectúa la notificación garantice que los datos de identificación de la persona que representan en exclusiva a la persona en cuestión se atribuyen de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecido en el acto de ejecución a que se refiere el artículo 8, apartado 3, a la persona física o jurídica a la que se refiere el artículo 3, punto 1, en el momento de expedición de los medios de identificación electrónica previstos en este sistema;
que la parte que expide los medios de identificación electrónica previstos en este sistema garantice que los medios de identificación electrónica se atribuyan a la persona a que se refiere la letra d) del presente artículo de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecidos en el acto de ejecución a que se refiere el artículo 8, apartado 3;
el Estado miembro que efectúa la notificación garantiza la disponibilidad de la autenticación en línea de manera que cualquier parte usuaria establecida en el territorio de otro Estado miembro pueda confirmar los datos de identificación de la persona recibidos en formato electrónico.
Para las partes usuarias distintas de los organismos del sector público, el Estado miembro que efectúa la notificación podrá definir las condiciones de acceso a esa autenticación. La autenticación transfronteriza deberá ser gratuita cuando se realice en relación con un servicio en línea prestado por un organismo del sector público.
Los Estados miembros no impondrán requisitos técnicos específicos desproporcionados a las partes usuarias que tengan intención de llevar a cabo tal autenticación, cuando esos requisitos impidan u obstaculicen significativamente la interoperabilidad de los sistemas de identificación electrónica notificados;
al menos seis meses antes de la notificación a la que se refiere el artículo 9, apartado 1, el Estado miembro que efectúa la notificación presentará a los demás Estados miembros, a efectos del artículo 12, apartado 5, una descripción de este sistema, de conformidad con las modalidades de procedimiento establecidas en los actos de ejecución adoptados en virtud del artículo 12, apartado 6;
el sistema de identificación electrónica cumple los requisitos del acto de ejecución a que se refiere el artículo 12, apartado 8.
Artículo 8
Niveles de seguridad de los sistemas de identificación electrónica
Los niveles de seguridad bajo, sustancial y alto cumplirán los siguientes criterios, respectivamente:
el nivel de seguridad bajo se referirá a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado limitado de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir el riesgo de uso indebido o alteración de la identidad;
el nivel de seguridad sustancial se referirá a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado sustancial de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir sustancialmente el riesgo de uso indebido o alteración de la identidad;
el nivel de seguridad alto se referirá a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado de confianza en la identidad pretendida o declarada de una persona superior al medio de identificación electrónica con un nivel de seguridad sustancial, y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, cuyo objetivo es evitar el uso indebido o alteración de la identidad.
Estas especificaciones técnicas mínimas, normas y procedimientos se establecerán en referencia a la fiabilidad y la calidad de los siguientes elementos:
el procedimiento para demostrar y comprobar la identidad de las personas físicas o jurídicas que solicitan la expedición de los medios de identificación electrónica;
el procedimiento para expedir los medios de identificación electrónica solicitados;
el mecanismo de autenticación mediante el cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad a una parte usuaria;
la entidad que expide los medios de identificación electrónica;
cualquier otro organismo que intervenga en la solicitud de expedición de los medios de identificación electrónica, y
las especificaciones técnicas y de seguridad de los medios de identificación electrónica.
Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
Artículo 9
Notificación
El Estado miembro que efectúa la notificación transmitirá a la Comisión la siguiente información y, sin dilaciones indebidas, cualquier modificación posterior de la misma:
una descripción del sistema de identificación electrónica, que incluya sus niveles de seguridad y el emisor o emisores de los medios de identificación electrónica en virtud de este sistema;
el régimen de supervisión aplicable y la información sobre el régimen de responsabilidades respecto de:
la parte que expida los medios de identificación electrónica, y
la parte que utilice el procedimiento de autenticación;
la autoridad o autoridades responsables del sistema de identificación electrónica;
información sobre la o las entidades que gestionan el registro de los datos únicos de identificación de la persona;
una descripción de cómo se cumplen los requisitos de los actos de ejecución a los que se hace referencia en el artículo 12, apartado 8;
una descripción de la autenticación a la que se refiere la letra f) del artículo 7;
disposiciones relativas a la suspensión o revocación del sistema de identificación electrónica, o autenticación notificados o de las partes interesadas.
Artículo 10
Violación de la seguridad de los sistemas de identificación electrónica
La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 9, apartado 2, sin dilaciones indebidas.
Artículo 11
Responsabilidad
Artículo 11 bis
Correspondencia transfronteriza de la identidad
Artículo 12
Interoperabilidad
El marco de interoperabilidad debe cumplir los criterios siguientes:
aspirar a ser neutro desde un punto de vista tecnológico y no discriminar entre soluciones técnicas nacionales específicas para la identificación electrónica dentro del Estado miembro;
ajustarse a las normas internacionales y europeas, siempre que sea posible;
facilitarla aplicación de la privacidad y la seguridad desde el diseño;
▼M1 —————
El marco de interoperabilidad consistirá en lo siguiente:
una referencia a los requisitos técnicos mínimos relativos a los niveles de seguridad contemplados en el artículo 8;
una correlación entre los niveles de seguridad nacionales de los sistemas de identificación electrónica y los niveles de seguridad contemplados en el artículo 8;
una referencia a los requisitos técnicos mínimos para la interoperabilidad;
una referencia a un conjunto mínimo de datos de identificación de la persona necesarios para representar de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica y que está disponible en los sistemas de identificación electrónica;
reglas de procedimiento;
acuerdos para la resolución de litigios, y
normas comunes de seguridad operativa.
▼M1 —————
Artículo 12 bis
Certificación de los sistemas de identificación electrónica
Artículo 12 ter
Acceso a características de equipo y programa informático
Cuando los proveedores de carteras europeas de identidad digital y los emisores de los medios de identificación electrónica notificados que actúen a título comercial o profesional y utilicen servicios básicos de plataforma según se definen en el artículo 2, punto 2, del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo ( 7 ), con el fin de ofrecer servicios de cartera europea de identidad digital y medios de identificación electrónica a usuarios finales, o en el marco de tal prestación, sean usuarios profesionales según se define en el artículo 2, apartado 21, de dicho Reglamento, los guardianes de acceso les permitirán, en particular, la interoperabilidad efectiva con las mismas características de sistema operativo, de equipo y o programa informático, así como el acceso a dichas características a efectos de interoperabilidad. La interoperabilidad efectiva y el acceso se permitirán de forma gratuita y con independencia de que las características de equipo y programa informático formen parte del sistema operativo, a las que puede acceder o que utiliza el guardián de acceso cuando presta tales servicios, en el sentido del artículo 6, apartado 7, del Reglamento (UE) 2022/1925. El presente artículo se entenderá sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 14, del presente Reglamento.
CAPÍTULO III
SERVICIOS DE CONFIANZA
SECCIÓN 1
Disposiciones generales
Artículo 13
Responsabilidad y carga de la prueba
La carga de la prueba de la intencionalidad o la negligencia de un prestador no cualificado de servicios de confianza corresponderá a la persona física o jurídica que alegue los perjuicios a que se refiere el párrafo primero.
Se presumirá la intencionalidad o la negligencia de un prestador cualificado de servicios de confianza salvo cuando ese prestador cualificado de servicios de confianza demuestre que los perjuicios a que se refiere el párrafo primero se produjeron sin intencionalidad ni negligencia por su parte.
Artículo 14
Aspectos internacionales
Los actos de ejecución a que se refiere el párrafo primero se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.
Artículo 15
Accesibilidad para las personas con discapacidad y necesidades especiales
La provisión de medios de identificación electrónica, así como la prestación de servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, deberán estar disponibles en un lenguaje claro y comprensible, de conformidad con la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad y con los requisitos de accesibilidad de la Directiva (UE) 2019/882, beneficiando así también a las personas que experimentan limitaciones funcionales, como las personas de edad avanzada y las personas con un acceso limitado a las tecnologías digitales.
Artículo 16
Sanciones
Los Estados miembros garantizarán que el incumplimiento del presente Reglamento por parte de prestadores cualificados y no cualificados de servicios de confianza se sancione con multas administrativas de un máximo de, al menos:
5 000 000 EUR cuando el prestador de servicios de confianza sea una persona física, o
5 000 000 EUR o una cuantía equivalente al 1 % del volumen de negocios anual total a nivel mundial de la empresa a la que perteneciera el prestador de servicios de confianza durante el ejercicio financiero anterior al año en que se haya producido el incumplimiento, optándose por la de mayor cuantía, cuando el prestador de servicios de confianza sea una persona jurídica.
SECCIÓN 2
Servicios de confianza no cualificados
▼M1 —————
Artículo 19
Requisitos de seguridad aplicables a los prestadores de servicios de confianza
Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.
Cuando proceda, en particular si una violación de la seguridad o pérdida de la integridad afecta a dos o más Estados miembros, el organismo de supervisión notificado informará al respecto a los organismos de supervisión de los demás Estados miembros de que se trate y a la ENISA.
El organismo de supervisión notificado informará al público o exigirá al prestador de servicios de confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste interés público.
La Comisión podrá, mediante actos de ejecución, establecer:
una mayor especificación de las medidas a que se refiere el apartado 1, y
la definición de los formatos y procedimientos, incluidos los plazos, aplicables a efectos del apartado 2.
Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
Artículo 19 bis
Requisitos aplicables a los prestadores no cualificados de servicios de confianza
Los prestadores no cualificados de servicios de confianza que prestan servicios de confianza no cualificados:
contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza no cualificado que, no obstante lo dispuesto en el artículo 21de la Directiva (UE) 2022/2555, deberá incluir, como mínimo, las medidas relacionadas con:
procedimientos de registro para un servicio de confianza e incorporación a este,
controles administrativos o de procedimiento necesarios para prestar servicios de confianza,
gestión e implantación de servicios de confianza;
notificarán al organismo de supervisión, a las personas afectadas identificables, al público si es de interés público y, cuando proceda, a otras autoridades competentes pertinentes cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra a), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar a las veinticuatro horas de haber tenido conocimiento de cualquier violación de la seguridad o interrupción.
SECCIÓN 3
Servicios de confianza cualificados
Artículo 20
Supervisión de los prestadores cualificados de servicios de confianza
Si el prestador no subsanase el incumplimiento, en su caso, dentro del plazo fijado por el organismo de supervisión, este, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.
A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, especificaciones y procedimientos para lo siguiente:
la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;
los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;
los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.
Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
Artículo 21
Inicio de un servicio de confianza cualificado
Con el fin de verificar que el prestador de servicios de confianza cumple los requisitos establecidos en el artículo 21 de la Directiva (UE) 2022/2555, el organismo de supervisión solicitará a las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de dicha Directiva que emprendan acciones de supervisión en ese sentido y que proporcionen información sobre los resultados de dichas acciones sin dilación indebida y en cualquier caso en el plazo de dos meses desde la recepción de dicha solicitud. Si la verificación no ha concluido en el plazo de dos meses desde la notificación, dichas autoridades competentes informarán al organismo de supervisión especificando los motivos de la dilación y el plazo previsto para concluir la verificación.
Si el organismo de supervisión concluye que el prestador de servicios de confianza y los servicios de confianza que este presta cumplen los requisitos establecidos en el presente Reglamento, el organismo de supervisión concederá la cualificación al prestador de servicios de confianza y a los servicios de confianza que este presta y lo comunicará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualizar las listas de confianza previstas en el artículo 22, apartado 1, a más tardar tres meses después de la notificación efectuada de conformidad con el apartado 1 del presente artículo.
Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.
Artículo 22
Listas de confianza
Artículo 23
Etiqueta de confianza «UE» para servicios de confianza cualificados
Artículo 24
Requisitos para los prestadores cualificados de servicios de confianza
La verificación de la identidad a que se refiere el apartado 1 se llevará a cabo por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o de una combinación de los mismos cuando sea necesario de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:
a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;
por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a), c) o d);
utilizando otros métodos de identificación que garanticen la identificación de la persona con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;
a través de la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.
La verificación de los atributos a que se refiere el apartado 1 se llevará a cabo, por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o, cuando sea necesario, de una combinación de estos, de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:
a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;
por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con el apartado 1 bis, letra a), c) o d);
por medio de una declaración electrónica cualificada de atributos;
utilizando otros métodos que garanticen la verificación de los atributos con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;
mediante la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.
Los prestadores cualificados de servicios de confianza que prestan servicios de confianza cualificados:
informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados al menos un mes antes de llevarlo a cabo, y con una antelación de al menos tres meses en caso de que tengan intención de cesar tales actividades;
contarán con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de protección de datos personales y que apliquen procedimientos administrativos y de gestión que correspondan a normas europeas o internacionales;
con respecto al riesgo de la responsabilidad por daños y perjuicios de conformidad con el artículo 13, mantendrán recursos financieros suficientes u obtendrán pólizas de seguros de responsabilidad adecuadas, de conformidad con la legislación nacional;
antes de entrar en una relación contractual, informarán, de manera clara, comprensible y fácilmente accesible, en un espacio públicamente accesible y de forma individual, a cualquier persona que desee utilizar un servicio de confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;
utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustenten, en particular utilizando técnicas criptográficas adecuadas;
utilizarán sistemas fiables para almacenar los datos que se les faciliten de forma verificable, de modo que:
estén a disposición del público para su recuperación solo cuando se haya obtenido el consentimiento de la persona a la que corresponden los datos,
solo personas autorizadas puedan hacer anotaciones y modificaciones en los datos almacenados,
pueda comprobarse la autenticidad de los datos;
No obstante lo dispuesto en el artículo 21 de la Directiva (UE) 2022/2555, contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza cualificado, en particular al menos medidas relacionadas con lo siguiente:
procedimientos de registro en un servicio e incorporación a este,
controles administrativos o de procedimiento,
gestión e implantación de servicios;
notificarán al organismo de supervisión, a las personas afectadas identificables, a otros organismos competentes pertinentes cuando proceda y, a solicitud del organismo de supervisión, al público si es de interés público, cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra f bis), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar veinticuatro horas después de haberse producido el incidente;
adoptarán medidas adecuadas contra la falsificación, el robo o la apropiación indebida de datos o contra la eliminación, alteración o bloqueo de dichos datos sin tener derecho a ello;
registrarán y mantendrán accesible, durante el tiempo que sea necesario cuando hayan cesado las actividades del prestador cualificado de servicios de confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador cualificado de servicios de confianza, al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;
contarán con un plan de cese actualizado para garantizar la continuidad del servicio de conformidad con las disposiciones que sean verificadas por el organismo de supervisión en virtud del artículo 46 ter, apartado 4, letra i);
▼M1 —————
en caso de los prestadores cualificados de servicios de confianza que expidan certificados cualificados, establecerán y mantendrán actualizada una base de datos de certificados.
El organismo de supervisión podrá solicitar información adicional a la información notificada en virtud del párrafo primero, letra a), o el resultado de una evaluación de la conformidad y podrá condicionar la concesión de la autorización para aplicar los cambios previstos a los servicios de confianza cualificados. Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.
Artículo 24 bis
Reconocimiento de servicios de confianza cualificados
SECCIÓN 4
Firma electrónica
Artículo 25
Efectos jurídicos de las firmas electrónicas
▼M1 —————
Artículo 26
Requisitos para firmas electrónicas avanzadas
Una firma electrónica avanzada cumplirá los requisitos siguientes:
estar vinculada al firmante de manera única;
permitir la identificación del firmante;
haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
Artículo 27
Firmas electrónicas en servicios públicos
▼M1 —————
Artículo 28
Certificados cualificados de firma electrónica
Según las condiciones que siguen, los Estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de firma electrónica:
Si un certificado cualificado de firma electrónica ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.
El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.
Artículo 29
Requisitos de los dispositivos cualificados de creación de firmas electrónicas
Artículo 29 bis
Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia
La gestión de dispositivos cualificados de creación de firma electrónica a distancia como servicio cualificado se llevará a cabo únicamente por un prestador cualificado de servicios de confianza que:
cree o gestione datos de creación de firmas electrónicas en nombre del signatario;
no obstante lo dispuesto en el punto 1, letra d), del anexo II, duplique los datos de creación de firmas electrónicas exclusivamente con fines de copia de seguridad, siempre y cuando se cumplan los requisitos siguientes:
la seguridad de los conjuntos de datos duplicados debe ser del mismo nivel que el previsto para los conjuntos de datos originales,
el número de conjuntos de datos duplicados no debe superar el mínimo necesario para garantizar la continuidad del servicio;
cumpla todos los requisitos definidos en el informe de certificación del dispositivo cualificado específico de creación de firmas electrónicas a distancia expedido en virtud del artículo 30.
Artículo 30
Certificación de los dispositivos cualificados de creación de firmas electrónicas
La certificación contemplada en el apartado 1 se basará en los elementos siguientes:
un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o
un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).
La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
Artículo 31
Publicación de una lista de dispositivos cualificados de creación de firmas electrónicas certificados
Artículo 32
Requisitos de la validación de las firmas electrónicas cualificadas
El proceso de validación de una firma electrónica cualificada confirmará la validez de una firma electrónica cualificada siempre que:
el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;
el certificado cualificado fuera emitido por un prestador de servicios de confianza y fuera válido en el momento de la firma;
los datos de validación de la firma corresponden a los datos proporcionados a la parte usuaria;
el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;
en caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de la firma;
la firma electrónica se haya creado mediante un dispositivo cualificado de creación de firmas electrónicas;
la integridad de los datos firmados no se haya visto comprometida;
se hayan cumplido los requisitos previstos en el artículo 26, en el momento de la firma.
Se presumirá el cumplimiento de los requisitos establecidos en el párrafo primero del presente apartado cuando la validación de firmas electrónicas cualificadas sea conforme a las normas, las especificaciones y los procedimientos a que se refiere el apartado 3.
Artículo 32 bis
Requisitos aplicables a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados
El proceso de validación de una firma electrónica avanzada basada en un certificado cualificado confirmará la validez de dicha firma siempre que:
el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;
el certificado cualificado fuera expedido por un prestador cualificado de servicios de confianza y fuera válido en el momento de la firma;
los datos de validación de la firma correspondan a los datos proporcionados a la parte usuaria;
el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;
en caso de que se utilice un seudónimo, la utilización de este se indique claramente a la parte usuaria en el momento de la firma;
la integridad de los datos firmados no se haya visto comprometida;
se hayan cumplido los requisitos previstos en el artículo 26 en el momento de la firma.
Artículo 33
Servicio de validación cualificado de firmas electrónicas cualificadas
Solo podrá prestar un servicio de validación cualificado de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que:
realice la validación de conformidad con el artículo 32, apartado 1, y
permita que las partes usuarias reciban el resultado del proceso de validación de una manera automatizada que sea fiable, eficiente e incluya la firma electrónica avanzada o el sello electrónico avanzado del prestador cualificado de servicio de validación.
Artículo 34
Servicio cualificado de conservación de firmas electrónicas cualificadas
SECCIÓN 5
Sellos electrónicos
Artículo 35
Efectos jurídicos del sello electrónico
▼M1 —————
Artículo 36
Requisitos para los sellos electrónicos avanzados
Un sello electrónico avanzado cumplirá los requisitos siguientes:
estar vinculado al creador del sello de manera única;
permitir la identificación del creador del sello;
haber sido creado utilizando datos de creación del sello electrónico que el creador del sello puede utilizar para la creación de un sello electrónico, con un alto nivel de confianza, bajo su control, y
estar vinculado con los datos a que se refiere de modo tal que cualquier modificación ulterior de los mismos sea detectable.
Artículo 37
Sellos electrónicos en servicios públicos
▼M1 —————
Artículo 38
Certificados cualificados de sello electrónico
Según las condiciones expuestas a continuación, los Estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de sello electrónico:
Si un certificado cualificado de sello electrónico ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.
El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.
Artículo 39
Dispositivos cualificados de creación de sello electrónico
Artículo 39 bis
Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia
El artículo 29 bis se aplicará mutatis mutandis a los servicios cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia.
Artículo 40
Validación y conservación de sellos electrónicos cualificados
Los artículos 32, 33 y 34 se aplicarán mutatis mutandis a la validación y conservación de los sellos electrónicos cualificados.
Artículo 40 bis
Requisitos aplicables a la validación de los sellos electrónicos avanzados basados en certificados cualificados
El artículo 32 bis se aplicará mutatis mutandis a la validación de los sellos electrónicos avanzados basados en certificados cualificados.
SECCIÓN 6
Sello de tiempo electrónico
Artículo 41
Efecto jurídico de los sellos de tiempo electrónicos
▼M1 —————
Artículo 42
Requisitos de los sellos cualificados de tiempo electrónicos
Un sello cualificado de tiempo electrónico cumplirá los requisitos siguientes:
vincular la fecha y hora con los datos de forma que se elimine razonablemente la posibilidad de modificar los datos sin que se detecte;
basarse en una fuente de información temporal vinculada al Tiempo Universal Coordinado, y
haber sido firmado mediante el uso de una firma electrónica avanzada o sellado con un sello ◄ electrónico avanzado del prestador cualificado de servicios de confianza o por cualquier método equivalente.
SECCIÓN 7
Servicio de entrega electrónica certificada
Artículo 43
Efecto jurídico de un servicio de entrega electrónica certificada
Artículo 44
Requisitos de los servicios cualificados de entrega electrónica certificada
Los servicios cualificados de entrega electrónica certificada cumplirán los requisitos siguientes:
ser prestados por uno o más prestadores cualificados de servicios de confianza;
asegurar con un alto nivel de fiabilidad la identificación del remitente;
garantizar la identificación del destinatario antes de la entrega de los datos;
estar protegidos el envío y recepción de datos por una firma electrónica avanzada o un sello electrónico avanzado de un prestador cualificado de servicios de confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte;
indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos;
indicar mediante un sello cualificado de tiempo electrónico la fecha y hora de envío, recepción y eventual modificación de los datos.
En caso de que los datos se transfieran entre dos o más prestadores cualificados de servicios de confianza, se aplicarán los requisitos establecidos en las letras a) a f) a todos los prestadores cualificados de servicios de confianza.
SECCIÓN 8
Autenticación de sitios web
Artículo 45
Requisitos aplicables a los certificados cualificados de autenticación de sitios web
Artículo 45 bis
Medidas cautelares en materia de ciberseguridad
SECCIÓN 9
declaración electrónica de atributos
Artículo 45 ter
Efectos jurídicos de la declaración electrónica de atributos
Artículo 45 quater
Declaración electrónica de atributos en servicios públicos
Cuando el Derecho nacional exija una identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para acceder a un servicio en línea prestado por un organismo del sector público, los datos de identificación de la persona contenidos en la declaración electrónica de atributos no sustituirán a la identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para la identificación electrónica a menos que el Estado miembro lo autorice expresamente. En tal caso, también se aceptarán las declaraciones electrónicas cualificadas de atributos procedentes de otros Estados miembros.
Artículo 45 quinquies
Requisitos aplicables a la declaración electrónica cualificada de atributos
Artículo 45 sexies
Cotejo de atributos con fuentes auténticas
Artículo 45 septies
Requisitos aplicables a la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este
Las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en su nombre cumplirán los requisitos siguientes:
los establecidos en el anexo VII;
el certificado cualificado que respalde la firma electrónica cualificada o el sello electrónico cualificado del organismo del sector público a que se refiere el artículo 3, punto 46, identificado como el emisor a que se refiere el anexo VII, letra b), contendrá un conjunto específico de atributos certificados en un formato adecuado para el tratamiento automático que:
indicará que el organismo emisor está establecido de conformidad con el Derecho de la Unión o nacional, bien como responsable de la fuente auténtica con arreglo a la cual se expide la declaración electrónica de atributos, bien como el organismo designado para actuar en su nombre,
proporcionará un conjunto de datos que representen inequívocamente la fuente auténtica a que se refiere el inciso i), y
determinará el Derecho de la Unión o nacional a que se refiere el inciso i).
Artículo 45 octies
Emisión de declaraciones electrónicas de atributos a las carteras europeas de identidad digital
Artículo 45 nonies
Normas adicionales para la prestación de servicios de declaración electrónica de atributos
SECCIÓN 10
servicios de archivo electrónico
Artículo 45 decies
Efecto jurídico de los servicios de archivo electrónico
Artículo 45 undecies
Requisitos aplicables a los servicios cualificados de archivo electrónico
Los servicios cualificados de archivo electrónico cumplirán los requisitos siguientes:
ser prestados por prestadores cualificados de servicios de confianza;
utilizar procedimientos y tecnologías capaces de asegurar la durabilidad y legibilidad de los datos y documentos electrónicos más allá del período de validez tecnológica y, al menos, durante el período de conservación legal o contractual, manteniendo al mismo tiempo su integridad y la exactitud de su origen;
garantizar que dichos datos y documentos electrónicos se conserven de tal manera que queden protegidos contra su pérdida o alteración, excepto en el caso de los cambios relativos a su soporte o formato electrónico;
permitir que las partes usuarias autorizadas reciban de forma automatizada un informe que confirme que los datos o documentos electrónicos recuperados de un archivo electrónico cualificado gozan de la presunción de integridad desde el inicio del período de conservación hasta el momento de su recuperación.
El informe a que se refiere el párrafo primero, letra d), se proporcionará de manera fiable y eficiente e incluirá la firma electrónica cualificada o el sello electrónico cualificado del prestador del servicio cualificado de archivo electrónico.
SECCIÓN 11
libros mayores electrónicos
Artículo 45 duodecies
Efectos jurídicos de los libros mayores electrónicos
Artículo 45 terdecies
Requisitos aplicables a los libros mayores electrónicos cualificados
Un libro mayor electrónico cualificado cumplirá los requisitos siguientes:
estar creado y gestionado por uno o más prestadores cualificados de servicios de confianza;
establecer el origen de los registros de datos en el libro mayor;
garantizar la unicidad del orden cronológico secuencial de los registros de datos en el libro mayor;
grabar datos de modo que sea posible detectar de forma inmediata cualquier modificación posterior de estos, garantizando su integridad a lo largo del tiempo.
CAPÍTULO IV
DOCUMENTOS ELECTRÓNICOS
Artículo 46
Efectos jurídicos de los documentos electrónicos
No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.
CAPÍTULO IV bis
MARCO DE GOBERNANZA
Artículo 46 bis
Supervisión del marco de la cartera europea de identidad digital
Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones de forma eficaz, eficiente e independiente.
Las funciones de los organismos de supervisión designados en virtud del apartado 1 serán las siguientes:
supervisar a los proveedores de carteras europeas de identidad digital establecidos en el Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos proveedores y las carteras europeas de identidad digital que proporcionan cumplen los requisitos establecidos en el presente Reglamento;
adoptar medidas, en caso necesario, en relación con los proveedores de carteras europeas de identidad digital establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se les haya informado de que los proveedores o las carteras europeas de identidad digital que proporcionan infringen el presente Reglamento.
Las tareas de los organismos de supervisión designados s en virtud del apartado 1 incluirán, en concreto, las siguientes:
cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;
solicitar la información necesaria para controlar el cumplimiento del presente Reglamento;
informar a las autoridades competentes pertinentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de los Estados miembros de que se trate de cualquier violación significativa de la seguridad o la pérdida de integridad de la que tengan conocimiento en el desempeño de sus funciones y, en caso de violación significativa de la seguridad o la pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único designado con arreglo al artículo 8, apartado 3, de la Directiva (UE) 2022/2555 del Estado miembro de que se trate y a los puntos de contacto únicos designados de conformidad con el artículo 46 quater, apartado 1, del presente Reglamento en los demás Estados miembros de que se trate, e informar al público o exigir a los proveedores de carteras europeas de identidad digital que lo hagan en caso de que el organismo de supervisión determine que la divulgación de la violación de la seguridad o la pérdida de integridad reviste interés público;
emprender inspecciones in situ y actividades de supervisión externa;
requerir que los proveedores de carteras europeas de identidad digital corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;
suspender o cancelar el registro y la inclusión de las partes usuarias en el mecanismo a que se refiere el artículo 5 ter, apartado 7, en caso de uso ilegal o fraudulento de la cartera europea de identidad digital;
cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas sin dilación indebida en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;
Artículo 46 ter
Supervisión de los servicios de confianza
Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones.
La función de los organismos de supervisión designados en virtud del apartado 1 será la siguiente:
supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el presente Reglamento;
adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se le informe de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos incumplen presuntamente los requisitos establecidos en el presente Reglamento.
Las funciones del organismo de supervisión designado en virtud del apartado 1 incluirán, en particular, las siguientes:
informar a las autoridades competentes pertinentes de los Estados miembros de que trate designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de cualquier violación significativa de la seguridad o pérdida de integridad de las que tenga conocimiento en el desempeño de sus funciones y, en caso de una violación significativa de la seguridad o pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único del Estado miembro de que se trate designado o establecido en virtud del artículo 8, apartado 3, de la Directiva (UE) 2022/2555 y a los puntos de contacto únicos de los demás Estados miembros de que se trate designados en virtud del artículo 46 quater, apartado 1, del presente Reglamento, e informar al público —o exigir al prestador de servicios de confianza que lo haga— en caso de que el organismo de supervisión considere que la divulgación de la violación de la seguridad o pérdida de integridad revistiera interés público;
cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;
analizar los informes de evaluación de la conformidad a que se refieren el artículo 20, apartado 1, y el artículo 21, apartado 1;
informar a la Comisión de sus actividades principales de conformidad con el apartado 6 del presente artículo;
realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, de conformidad con el artículo 20, apartado 2;
cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas, sin dilación indebida, en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;
conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar dicha cualificación, de conformidad con los artículos 20 y 21;
comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 22, apartado 3, de su decisión de conceder o retirar la cualificación, salvo si dicho organismo es también el organismo de supervisión designado en virtud del apartado 1 del presente artículo;
verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese cuando los prestadores cualificados de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, de conformidad con el artículo 24, apartado 2, letra h);
requerir que los prestadores de servicios de confianza corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;
investigar las denuncias de los proveedores de navegadores web en virtud del artículo 45 bis y tomar medidas en caso necesario.
Artículo 46 quater
Puntos de contacto únicos
Artículo 46 quinquies
Asistencia mutua
La asistencia mutua implicará, como mínimo, lo siguiente:
el organismo de supervisión que aplique medidas de supervisión y ejecución en un Estado miembro informará y consultará al organismo de supervisión del otro Estado miembro afectado;
un organismo de supervisión podrá solicitar al organismo de supervisión de otro Estado miembro afectado que adopte medidas de supervisión o ejecución, entre las que se podrá contar, por ejemplo, cursar solicitudes de inspección en relación con los informes de evaluación de la conformidad contemplados en los artículos 20 y 21 en lo referente a la prestación de servicios de confianza;
cuando proceda, los organismos de supervisión podrán llevar a cabo investigaciones conjuntas con los organismos de supervisión de otros Estados miembros.
Los acuerdos y procedimientos para las acciones conjuntas con arreglo al párrafo primero serán aprobados y establecidos por los Estados miembros de que se trate de conformidad con su Derecho nacional.
El organismo de supervisión al que se haya dirigido una solicitud de asistencia podrá denegar dicha solicitud por alguno de los motivos siguientes:
la asistencia solicitada no guarda proporción con las actividades de supervisión del organismo de supervisión realizadas de conformidad con los artículos 46 bis y 46 ter;
el organismo de supervisión no es competente para prestar la asistencia solicitada;
la prestación de la asistencia solicitada sería incompatible con el presente Reglamento.
Artículo 46 sexies
El Grupo de Cooperación sobre la Identidad Digital Europea
El Grupo de Cooperación desempeñará las siguientes funciones:
intercambiar recomendaciones y cooperar con la Comisión en las iniciativas políticas emergentes en el ámbito de las carteras de identidad digital, los medios de identificación electrónica y los servicios de confianza;
asesorar a la Comisión, según proceda, en la preparación temprana de los proyectos de actos delegados y de ejecución que deban adoptarse en virtud del presente Reglamento;
con el fin de apoyar a los organismos de supervisión en la aplicación de las disposiciones del presente Reglamento:
intercambiar las mejores prácticas e información sobre la aplicación de las disposiciones del presente Reglamento,
evaluar los avances pertinentes en el ámbito de los sectores de la cartera de identidad digital, la identificación electrónica y los servicios de confianza,
organizar reuniones conjuntas con las partes interesadas pertinentes de toda la Unión para tratar las actividades realizadas por el Grupo de Cooperación y recabar apreciaciones sobre los desafíos políticos emergentes,
con el apoyo de la ENISA, intercambiar opiniones, mejores prácticas e información sobre los aspectos de ciberseguridad pertinentes relativos a las carteras europeas de identidad digital, los sistemas de identificación electrónica y los servicios de confianza,
intercambiar mejores prácticas en relación con el desarrollo y la ejecución de políticas sobre la notificación de violaciones de la seguridad y las medidas comunes a que se refieren los artículos 5 sexies y 10,
organizar reuniones conjuntas con el Grupo de Cooperación SRI establecido en virtud del artículo 14, apartado 1, de la Directiva (UE) 2022/2555 para intercambiar la información pertinente referente a ciberamenazas, incidencias, vulnerabilidades, iniciativas de sensibilización, formación, ejercicios y destrezas, desarrollo de capacidades, capacidad relativa a las normas y especificaciones técnicas y las propias normas y especificaciones técnicas en relación con los servicios de confianza y la identificación electrónica,
debatir, a petición de un organismo de supervisión, las solicitudes concretas de asistencia mutua a que se refiere el artículo 46 quinquies,
facilitar el intercambio de información entre los organismos de supervisión, orientando sobre los aspectos organizativos y los procedimientos de la asistencia mutua a que se refiere el artículo 46 quinquies;
organizar revisiones inter pares de los sistemas de identificación electrónica que vayan a notificarse con arreglo al presente Reglamento.
CAPÍTULO V
DELEGACIÓN DE PODERES Y DISPOSICIONES DE EJECUCIÓN
Artículo 47
Ejercicio de la delegación
Artículo 48
Procedimiento de comité
CAPÍTULO VI
DISPOSICIONES FINALES
Artículo 48 bis
Requisitos de información
Las estadísticas recopiladas de conformidad con el apartado 1 incluirán los siguientes elementos:
el número de personas físicas y jurídicas poseedoras de una cartera europea de identidad digital válida;
el tipo y cantidad de servicios que aceptan el uso de la cartera europea de identidad digital;
la cantidad de reclamaciones de usuarios e incidencias de protección de los consumidores o de protección de datos relacionadas con las partes usuarias y los servicios de confianza cualificados;
un informe resumido que incluya datos sobre las incidencias que impidan utilizar la cartera europea de identidad digital;
un resumen de las incidencias de seguridad importantes, de las violaciones de la seguridad de los datos y de los usuarios de carteras europeas de identidad digital o de servicios de confianza cualificados que hayan resultado afectados.
Artículo 49
Revisión
Artículo 50
Derogación
Artículo 51
Disposiciones transitorias
Artículo 52
Entrada en vigor
El presente Reglamento será aplicable a partir del 1 de julio de 2016, a excepción de las disposiciones siguientes:
los artículos 8, apartado 3, 9, apartado 5, 12, apartados 2 a 9, 17, apartado 8, 19, apartado 4, 20, apartado 4, 21, apartado 4, 22, apartado 5, 23, apartado, 3, 24, apartado 5, 27, apartados 4 y 5, 28, apartado 6, 29, apartado 2, 30, apartados 3 y 4, 31, apartado 3, 32, apartado 3, 33, apartado 2, 34, apartado 2, 37, apartados 4 y 5, 38, apartado 6, 42, apartado 2, 44, apartado 2, 45, apartado 2, y los artículos 47 y 48 se aplicarán a partir del 17 de septiembre de 2014;
el artículo 7, el artículo 8, apartados 1 y 2, los artículos 9, 10, 11 y el artículo 12, apartado 1, se aplicarán a partir de la fecha de aplicación de los actos de ejecución previstos en los artículos 8, apartado 3, y 12, apartado 8;
el artículo 6 se aplicará a partir de los tres años de la fecha de aplicación de los actos de ejecución previstos en los artículos 8, apartado 3, y 12, apartado 8.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
ANEXO I
REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE FIRMA ELECTRÓNICA
Los certificados cualificados de firma electrónica contendrán:
una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de firma electrónica;
un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y
al menos el nombre del firmante o un seudónimo; si se usara un seudónimo, se indicará claramente;
datos de validación de la firma electrónica que correspondan a los datos de creación de la firma electrónica;
los datos relativos al inicio y final del período de validez del certificado;
el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;
la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;
el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra g);
la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;
cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.
ANEXO II
REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA
1. Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:
esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;
los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;
exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;
los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.
2. Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.
▼M1 —————
ANEXO III
REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE SELLO ELECTRÓNICO
Los certificados cualificados de sello electrónico contendrán:
una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de sello electrónico;
un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y
al menos, el nombre del creador del sello y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
los datos de validación del sello electrónico que correspondan a los datos de creación del sello electrónico;
los datos relativos al inicio y final del período de validez del certificado;
el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;
la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;
el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra g);
la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;
cuando los datos de creación del sello electrónico relacionados con los datos de validación del sello electrónico se encuentren en un dispositivo cualificado de creación de sellos electrónicos, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.
ANEXO IV
REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE AUTENTICACIÓN DE SITIOS WEB
Los certificados cualificados de autenticación de sitios web contendrán:
una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de autenticación de sitio web;
un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y
para las personas físicas: al menos el nombre de la persona a la que se expida el certificado, o un seudónimo; y, cuando se use un seudónimo, una indicación clara en este sentido;
para las personas jurídicas: un conjunto único de datos que represente inequívocamente a la persona jurídica a la que se expide el certificado, con al menos el nombre de la persona jurídica a la que se expide el certificado y, en su caso, el número de registro tal como figura en los registros oficiales;
elementos de la dirección, incluida al menos la ciudad y el Estado, de la persona física o jurídica a quien se expida el certificado, y, cuando proceda, según figure en los registros oficiales;
el nombre o los nombres de dominio explotados por la persona física o jurídica a la que se expida el certificado;
los datos relativos al inicio y final del período de validez del certificado;
el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;
la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;
el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra h);
la información o la localización de los servicios de estado de validez del certificado que pueden utilizarse para consultar el estado de validez del certificado cualificado.
ANEXO V
REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA CUALIFICADA DE ATRIBUTOS
La declaración electrónica cualificada de atributos contendrá:
una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica cualificada de atributos;
un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide la declaración electrónica cualificada de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho prestador está establecido, y:
para personas jurídicas, el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,
para personas físicas, el nombre de la persona;
un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;
el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;
los datos relativos al inicio y final del período de validez de la declaración;
el código de identidad de la declaración, que debe ser único para el prestador cualificado de servicios de confianza y, si procede, la indicación del régimen de declaraciones al que pertenece la declaración de atributos;
la firma electrónica cualificada o el sello electrónico cualificado del prestador cualificado de servicios de confianza expedidor;
el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);
la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración cualificada.
ANEXO VI
LISTA MÍNIMA DE ATRIBUTOS
En virtud de lo dispuesto en el artículo 45 sexies, los Estados miembros garantizarán la adopción de medidas que permitan a los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verificar por medios electrónicos, a petición del usuario, la autenticidad de los atributos siguientes, cotejándolos con las fuentes auténticas pertinentes a escala nacional o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional y cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público:
dirección,
edad,
sexo,
estado civil,
composición familiar,
nacionalidad o ciudadanía,
cualificaciones, títulos y licencias académicos,
cualificaciones, títulos y licencias profesionales,
facultades y mandatos para representar a personas físicas o jurídicas,
permisos y licencias públicos,
en el caso de las personas jurídicas, datos financieros y sociales.
ANEXO VII
REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS EXPEDIDA POR UN ORGANISMO PÚBLICO RESPONSABLE DE UNA FUENTE AUTÉNTICA O EN NOMBRE DE ESTE
Las declaraciones electrónicas de atributos expedidas por un organismo público responsable de una fuente auténtica, o en nombre de este, contendrán:
una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica de atributos por un organismo público responsable de una fuente auténtica, o en nombre de este;
un conjunto de datos que represente inequívocamente al organismo público que expide la declaración electrónica de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho organismo público tiene su sede y su nombre y, en su caso, su número de registro tal como figura en los registros oficiales;
un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;
el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;
los datos relativos al inicio y final del período de validez de la declaración;
el código de identidad de la declaración, que debe ser único para el organismo público expedidor y, si procede, una indicación del régimen de declaraciones al que pertenece la declaración de atributos;
la firma electrónica cualificada o el sello electrónico cualificado del organismo expedidor;
el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);
la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración.
( 1 ) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
( 2 ) Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (DO L 94 de 28.3.2014, p. 65).
( 3 ) Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).
( 4 ) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).
( 5 ) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).
( 6 ) Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).
( 7 ) Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).
( 8 ) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).