Con el próximo advenimiento de un mercado digital único europeo, el papel de la firma electrónica, así como de otros documentos y servicios afines, adquieren un gran protagonismo para dotar de seguridad jurídica a las transacciones.
Es por ello por lo que el Reglamento (UE) Nº 910/2014 , norma reguladora del eIDAS, incluye un nuevo concepto: los proveedores de servicios de confianza. En este post, te contamos más sobre esta nueva figura.
Antes de entrar en materia sobre los proveedores de servicios de confianza, es importante destacar la importancia del papel del eIDAS en el Digital Single Market de todo el espacio europeo.
A modo de resumen, decir que antes de que Europa lanzara el Reglamento (UE) Nº 910/2014, cada estado miembro emitía sus propios certificados digitales, cuya validez en el extranjero dependía de los convenios que la entidad emisora del mismo tuviese en ese momento. No había diferencia entre las regulaciones con estados miembros y no miembros.
De esta forma, había unas barreras que impedían que hubiese un espacio digital para Europa. El eIDAS lo que hace es garantizar la validez de cualquier certificado digital emitido por cualquiera de los estados miembros para con el resto de miembros de la unión.
Así, un certificado emitido en España debe tener la misma validez en el territorio nacional que la que tendrá en Francia.
Para la creación de un Mercado Digital Único en Europa, se necesita incrementar la confianza que los usuarios tienen en las transacciones que tienen lugar telemáticamente. Es por ello por lo que la firma cualificada – firma digital reconocida- gana importancia en este contexto como garantía de autenticidad de dichas transacciones.
Transacciones Digitales Más Seguras
Por un lado, los sistemas de seguridad van mejorando día a día. Pero no puede obviarse que, también, crecen las amenazas. He aquí el motivo por el que se recurren a figuras como la del proveedor de servicios de confianza junto a distintos instrumentos tecnológicos de gran eficacia, como la encriptación o la firma electrónica.
En este caso, por ejemplo, debe basarse en un certificado reconocido y ser producida por un dispositivo de firma seguro. El objetivo no es otro que lograr que el emisor sea reconocido como autor del correo u documento, además de tener eficacia jurídica, similar a la de la firma manuscrita cuando se cumplen los requisitos apuntados anteriormente.
Más allá de las garantías que otorga la firma electrónica en cuanto a la autenticidad, la seguridad jurídica relativa a las transacciones telemáticas abarca un campo mucho más amplio. Entre otros objetivos, se orienta a la confidencialidad y al logro de la presunción de exactitud con respecto a diferentes aspectos importantes, como pueden ser la fecha en la que se firma el documento o la integridad de los datos.
Por su parte, los proveedores de servicios de confianza son considerados como soporte a la prestación de servicios de pago por la normativa actualmente vigente, de acuerdo al contexto de la legislación eIDAS y del Mercado Único. Tal y como veremos, en esta se incluyen distintos servicios que ofrecen los denominados proveedores de servicios de confianza, cuyas características principales también se especifican.
Proveedores de Confianza: Definición según la normativa vigente
Con la intención de lograr la interoperabilidad europea en un clima de confianza acorde con la idea de aldea global en la era digital, se precisa de un marco jurídico regulador efectivo. Es en este entorno normativo aún incipiente en el que, concretamente, hemos de enmarcar la definición de proveedor de servicio de confianza.
Abordar la definición que nos ocupa implica, en consecuencia, conocer la normativa que los regula; concretamente, el Reglamento (UE) Nº 910/2014 de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para las transacciones electrónicas (eIDAS).
El Reglamento eIDAS, en vigor en su totalidad el 1 de julio de 2016, establece las normas para los servicios de confianza, al tiempo que los define. Así como establece un marco jurídico para las firmas y sellos electrónicos, así como otros documentos y servicios afines relativos a la certificación y autenticación.
En su artículo 3 encontramos distintas definiciones relacionadas con los servicios de confianza y sus proveedores. De forma general y según dicha normativa, se considera «servicio de confianza» aquel servicio electrónico consistente bien en la creación, verificación y validación de firmas, sellos o sellos de tiempo. Todos ellos electrónicos.
O, pongamos por caso, aquellos relacionados con servicios de entrega electrónica certificada y certificados relativos a estos servicios, así como los servicios relacionados con la creación, verificación y validación de certificados para diferentes fines.
Entre otros, autenticar sitios web, preservar firmas, sellos o certificados electrónicos asociados a estos servicios.
Novedades de la normativa
Los prestadores de servicios de confianza, por su parte, son personas físicas o jurídicas que prestan estos servicios, habitualmente a cambio de una remuneración. Es decir, el término engloba a todas las empresas relacionadas con el sector de los certificados digitales, validación de firmas, sellados de tiempo u otros aspectos similares, siempre que cumplan una serie de requisitos.
Esta figura es una de las novedades que, con el fin de incrementar los niveles de confianza, incluye la vigente norma, que sustituye a la Directiva CE 1999/93, denominando «prestadores de servicios de confianza» a los «prestadores de servicios de certificación», término utilizado en aquella.
Con respecto a la antigua norma, derogada y sustituida por el Reglamento eIDAS, afecta a los prestadores de servicios de certificación españoles de forma importante con modificaciones que van más allá del simple cambio de denominación de los mismos.
La nueva normativa no solo abarca la firma electrónica, regulando también el sello, documento, marca de tiempo y entrega electrónica, así como la autenticación de sitios web. Es decir, estamos ante una ampliación de los servicios regulados, algunos de ellos todavía a la espera de su desarrollo.
En la vigente normativa, al hilo de lo apuntado, se distingue entre dos tipos de prestadores: cualificados y no cualificados. Los prestadores o proveedores de servicios con sede en la UE, por lo tanto, pueden hacerlo bien como prestador cualificado o no cualificado de servicios de confianza.
De este modo, los proveedores de servicios de confianza prestan uno o varios de estos servicios denominados de confianza, siendo el «prestador cualificado de servicios de confianza». Se trata, pues, de un prestador de servicios cualificados al que el organismo de supervisión ha concedido la cualificación.
En el caso de que los servicios de confianza sean ofrecidos por proveedores de servicios de terceros países, estos tendrán reconocimiento legal equivalente a los cualificados tras alcanzarse un acuerdo entre la UE y el tercer país o una organización internacional.
Los acuerdos alcanzados con autoridades de certificación, entidades que merecen confianza de otros actores para realizar transacciones, son un mecanismo ampliamente utilizado para que prestadores de servicios de confianza no cualificados puedan cumplir los requisitos aplicables establecidos en la norma 910/2014.
Gracias a estos acuerdos estratégicos con entidades de certificación que son proveedores cualificados, se permite avanzar en la prestación cualificada de servicios de confianza.
Al margen de la regulación específica europea, el concepto de prestador de confianza es universal y su área de actuación hace referencia a una cuestión de gran interés desde un enfoque global. Por ejemplo, Avansi, nuestra filial en República Dominicana, es calificado como proveedor de servicios de confianza en LATAM.