30.1.2013   

ES

Diario Oficial de la Unión Europea

C 28/6

Resumen Ejecutivo del Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado (Reglamento de los servicios de confianza electrónicos)

(El texto completo del presente dictamen puede encontrarse en inglés, francés y alemán en el sitio web del SEPD http://www.edps.europa.eu)

2013/C 28/04

I.   Introducción

I.1.   La propuesta

1.

El 4 de junio de 2012, la Comisión adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo por la que se modifica la Directiva 1999/93/CE del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (en adelante, «la propuesta») (1).

2.

La propuesta forma parte de las medidas presentadas por la Comisión para reforzar el despliegue de las transacciones electrónicas en la Unión Europea. Supone una continuación de las acciones previstas en la Agenda Digital para Europa (2) para mejorar las medidas legales en relación con la firma electrónica (acción clave no 3) y ofrecer un marco jurídico coherente para el reconocimiento mutuo de la identificación y la autenticación electrónicas (acción clave no 16).

3.

Se espera que la propuesta refuerce la confianza en las transacciones electrónicas paneuropeas y garantice el reconocimiento jurídico transfronterizo de la identificación, la autentificación y la firma electrónicas y los servicios de confianza conexos, así como un elevado nivel de protección de los datos y de capacitación de los usuarios.

4.

Un elevado nivel de protección de los datos es fundamental para utilizar los sistemas de identificación electrónica y los servicios de confianza. El desarrollo y el uso de dichos medios electrónicos deben basarse en un tratamiento adecuado de los datos personales por parte de los proveedores de servicios de confianza y los emisores de identidad electrónica. Esto es aún más importante si se tiene en cuenta que dicho tratamiento servirá de base, entre otras cosas, para la identificación y la autenticación de personas físicas (o jurídicas) de la forma más fiable.

I.2.   Consulta al Supervisor Europeo de Protección de Datos

5.

Antes de que fuera adoptada la propuesta, el SEPD pudo proporcionar observaciones informales. Muchas de aquellas observaciones han sido tenidas en cuenta en la propuesta. En consecuencia, las garantías de protección de los datos se han visto reforzadas en la misma.

6.

El SEPD recibe con satisfacción el hecho de ser consultado formalmente por la Comisión de acuerdo con lo dispuesto en el artículo 28, apartado 2, del Reglamento (CE) no 45/2001.

I.3.   Antecedentes de la propuesta

7.

La propuesta se basa en el artículo 114 del Tratado de Funcionamiento de la Unión Europea y establece las condiciones y los mecanismos de reconocimiento y aceptación mutuos de la identificación electrónica y los servicios de confianza entre los Estados miembros. En particular, establece los principios relativos a la prestación de los servicios de identificación electrónica y los servicios de confianza electrónicos, incluidas las normas aplicables al reconocimiento y la aceptación. También establece los requisitos para la creación, verificación, validación, gestión y conservación de firmas electrónicas, sellos electrónicos, marcas de tiempo electrónicas, documentos electrónicos, servicios de entrega electrónica, autenticación de sitios web y certificados electrónicos.

8.

Además, la propuesta de Reglamento establece las normas para el control de la prestación de servicios de confianza y obliga a los Estados miembros a crear organismos de supervisión a tal efecto. Estos organismos evaluarán, entre otras cosas, la conformidad de las medidas técnicas y organizativas aplicadas por los proveedores de servicios de confianza electrónicos.

9.

El capítulo II trata sobre los servicios de identificación electrónica, mientras el capítulo III está dedicado a otros servicios de confianza electrónicos como las firmas, sellos, marcas de tiempo, documentos, servicios de entrega y autenticación de sitios web y certificados electrónicos. Los servicios de identificación electrónica guardan relación con las tarjetas nacionales de identificación que pueden utilizarse para acceder a los servicios digitales y, en particular, en los servicios de administración electrónica, lo cual implica que la entidad que emite la identificación electrónica actúa representando a un Estado miembro y que el Estado miembro es responsable de establecer correctamente la correspondencia entre una persona física concreta y sus medios de identificación electrónica. En relación con otros servicios de confianza electrónicos, el proveedor/emisor es una persona física o jurídica que es responsable de que la prestación de dichos servicios se lleve a cabo de forma correcta y segura.

I.4.   Cuestiones en materia de protección de datos planteadas por la propuesta

10.

El tratamiento de los datos personales es inherente al uso de los regímenes de identificación y, en cierta medida, también a la prestación de otros servicios de confianza (por ejemplo, en el caso de las firmas electrónicas). El tratamiento de datos personales será exigido para establecer un vínculo de confianza entre los medios de identificación electrónica y autenticación utilizados por una persona física (o jurídica) y dicha persona, para poder certificar que la persona que utiliza el certificado electrónico es verdaderamente la persona que dice ser. Por ejemplo, las identificaciones electrónicas o los certificados electrónicos hacen referencia a personas físicas e incluirán una serie de datos que representan inequívocamente a dichas personas. Dicho de otro modo, la creación, verificación, validación y gestión de los medios electrónicos mencionados en el artículo 3, apartado 12, de la propuesta implicarán, en muchos casos, el tratamiento de datos personales y, por tanto, la protección de datos resulta pertinente.

11.

Por tanto, es esencial que el tratamiento de datos en el contexto de la prestación de los sistemas de identificación electrónica o de los servicios de confianza electrónicos se realice de conformidad con el marco jurídico de la protección de datos de la Unión Europea, en particular las disposiciones nacionales de aplicación de la Directiva 95/46/CE.

12.

En el presente dictamen, el SEPD se centrará en el análisis de tres cuestiones principales:

a)

cómo aborda la propuesta la protección de datos;

b)

los aspectos en materia de protección de datos de los sistemas de identificación electrónica deben ser reconocidos y aceptados de forma transfronteriza; y

c)

los aspectos en materia de protección de datos de los servicios de confianza electrónicos deben ser reconocidos y aceptados de forma transfronteriza.

III.   Conclusiones

50.

El SEPD recibe con agrado la propuesta, ya que contribuye al reconocimiento (y la aceptación) mutuos de los servicios de confianza y los sistemas de identificación electrónicos a nivel europeo. Recibe asimismo con satisfacción la creación de un conjunto de requisitos que los emisores de medios de identificación electrónica y los proveedores de servicios de confianza deben cumplir. No obstante el apoyo general a la propuesta, el SEPD pretende proporcionar las siguientes recomendaciones generales:

las disposiciones sobre protección de datos incluidas en la propuesta no deben limitarse a los proveedores de servicios de confianza y también deben aplicarse al tratamiento de datos personales en los sistemas de identificación electrónica que se describen el capítulo II de la propuesta,

la propuesta de Reglamento debería establecer un conjunto común de requisitos de seguridad para los proveedores de servicios de confianza y los emisores de identificación electrónica. De manera alternativa, podría permitir que la Comisión defina, cuando sea necesario, mediante el uso selectivo de actos delegados o medidas de aplicación, los criterios, las condiciones y los requisitos de seguridad de los servicios de confianza electrónicos y los sistemas de identificación electrónica,

debería exigirse a los proveedores de servicios de confianza electrónicos y a los emisores de identificación electrónica que faciliten a los usuarios de sus servicios: i) la información adecuada sobre la recogida, comunicación y conservación de sus datos, así como ii) una forma de controlar sus datos personales y poder ejercer sus derechos en materia de protección de datos personales,

el SEPD recomienda una inclusión más selectiva en la propuesta de las normas que autorizan a la Comisión a especificar o detallar disposiciones concretas tras la adopción de la propuesta de Reglamento mediante actos delegados o de ejecución.

51.

También podrían efectuarse mejoras en algunas disposiciones específicas relativas al reconocimiento mutuo de los sistemas de identificación electrónica:

la propuesta de Reglamento debe especificar qué datos o categorías de datos se tratarán para la identificación transfronteriza de personas físicas. Dicha especificación debe incluir al menos el mismo nivel de detalle que ofrecen los anexos para otros servicios de confianza y deben respetar el principio de proporcionalidad,

las garantías exigidas para la prestación de regímenes de identificación deben cumplir, como mínimo, los requisitos establecidos para los proveedores de servicios de confianza cualificados,

la propuesta debe establecer mecanismos adecuados para crear un marco para la interoperabilidad de los sistemas nacionales de identificación.

52.

Por último, el SEPD también desea formular las siguientes recomendaciones en relación con los requisitos para la prestación y el reconocimiento de los servicios de confianza electrónicos:

debería especificarse respecto de todos los servicios electrónicos si se tratarán los datos personales y, en los casos en que se traten datos personales, los datos o categorías de datos que van a tratarse,

el Reglamento debería adoptar las medidas adecuadas para evitar un solapamiento entre las competencias de los organismos de supervisión para los servicios de confianza electrónicos y las de las autoridades de protección de datos,

las obligaciones impuestas a los proveedores de servicios de confianza electrónicos en relación con las vulneraciones en materia de datos y los incidentes en materia de seguridad deben ser coherentes con los requisitos establecidos en la Directiva sobre privacidad electrónica revisada y en la propuesta de Reglamento sobre protección de datos,

debería quedar más clara la definición de las entidades privadas o públicas que pueden actuar como terceros autorizados para realizar auditorías con arreglo a lo dispuesto en los artículos 16 y 17 o que pueden verificar los dispositivos de creación de firmas electrónicas, de acuerdo con el artículo 23, así como los criterios sobre la base de los cuales se evaluará la independencia de dichos organismos,

el Reglamento debería ser más preciso a la hora de fijar un plazo para la conservación de los datos, mencionado en el artículo 19, apartados 2 y 4 (3).

Hecho en Bruselas, el 27 de septiembre de 2012.

Giovanni BUTTARELLI

Asistente del Supervisor Europeo de Protección de Datos

(1)  COM(2012) 238 final.

(2)  COM(2010) 245 de 19.5.2010.

(3)  En virtud del artículo 19, apartado 2, letra g), los proveedores de servicios de confianza deberán registrar durante un período de tiempo apropiado toda la información pertinente referente a los datos expedidos y recibidos. En virtud del artículo 19, apartado 4, los proveedores de servicios de confianza cualificados deberán proporcionar a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos.