eIDAS: actualización del reglamento europeo para firma electrónica

El Reglamento eIDAS sobre firma electrónica e identificación digital en la comunidad europea, fue adoptado por el Parlamento Europeo y el Consejo de la Unión Europea el 23 de julio de 2014.

Aplicable desde el 1 de julio de 2016, establece una base común para la desmaterialización y armoniza las normas que rigen las interacciones electrónicas entre todos los Estados miembros. En particular, ha eliminado todas las zonas grises en torno al valor legal de una firma electrónica.

¿Qué regula el Reglamento europeo eIDAS? ¿Cómo utilizar la firma electrónica asegurándote de estar cumpliendo con la normativa? ¿Por qué utilizar un proveedor de servicios de confianza? Damos respuesta a las preguntas más frecuentes en este artículo.

El Reglamento eIDAS, que significa Electronic Identification And trust Services, es un conjunto de normas relativo a la identificación electrónica y servicios de confianza para las transacciones electrónicas en la Comunidad Europea.

Es especialmente importante para:

• Los organismos del sector público,
• los proveedores de servicios de confianza en el mercado interior.

Este reglamento tiene por objeto:

• Promover las transacciones electrónicas en el mercado europeo y aumentar la confianza en las mismas;
• estandarizar y aclarar las normas sobre identificación electrónica (eID) y servicios de confianza para todos los Estados miembros;
• establecer un marco jurídico estricto y unas normas exigentes que otorguen a cualquier firma electrónica el mismo valor legal que una firma manuscrita.

Este reglamento deroga la Directiva 1999/93/CE, cuya transposición a las legislaciones nacionales y aplicación técnica por parte de los Estados miembros eran diferentes, lo que frenaba el desarrollo previsto de los intercambios transfronterizos. Además, solo se ocupaba de la firma electrónica, mientras que el Reglamento eIDAS aborda todo tipo de interacciones electrónicas.

El Reglamento eIDAS aborda las siguientes cuestiones principales:

• La interoperabilidad y los efectos jurídicos de los servicios de confianza como:
  • La firma electrónica,
  • las marcas de tiempo,
  • los sellos electrónicos,
  • el envío de correos electrónicos certificados,
  • la emisión de certificados reconocidos de autenticación de sitios web;
• el reconocimiento de los proveedores de servicios de confianza (PSC);
• la elaboración de listas de confianza europeas en las que figuren los PSC y los operadores cualificados;
• los niveles de garantía de las identificaciones electrónicas (bajo, sustancial y alto) para la identificación y autenticación en línea de los ciudadanos europeos.

El Reglamento eIDAS refuerza el valor jurídico y el alto nivel de confianza de la firma electrónica y distingue los siguientes tipos principales de firma electrónica:

• La firma electrónica simple (utilizada para la firma de documentos con bajos factores de riesgo legal o financiero);
• la firma electrónica avanzada y avanzada basada en un certificado reconocido (comunes para realizar transacciones financieras, firma de documentos jurídicos, contratos de crédito, etc.);
• la firma electrónica cualificada (empleada en documentos autenticados por un notario, abogado, secretario judicial, la adjudicación de contratos públicos, etc.).

Cada una de estas firmas tiene un control exclusivo que debe conocerse, en función del grado de fiabilidad y seguridad que proporciona.

El reglamento eIDAS enumera varios criterios para definir el valor legal de una firma electrónica a nivel europeo:

• La emisión de un certificado electrónico para autenticar la identidad del firmante;
• la conformidad del proceso de firma electrónica y la aplicación de altos estándares de seguridad, respaldados por una certificación eIDAS;
• la creación de la firma en formato electrónico, aunque no cumpla los requisitos de una firma electrónica cualificada, debe ser aceptada como prueba en los tribunales a nivel europeo;
• el respeto de la integridad del documento firmado, el cual no debe ser modificado;
• el almacenamiento de documentos electrónicos durante diez años en una caja fuerte electrónica segura.

En la práctica, para garantizar la fiabilidad y el cumplimiento de los servicios de firma electrónica que utiliza, comprueba que el certificado de firma electrónica está emitido por una autoridad competente o un tercero de confianza.

☝️ Un tercero de confianza es un actor que garantiza la protección de los datos y documentos electrónicos intercambiados entre todos los usuarios. Debe poder demostrar su certificación eIDAS si tú se lo solicitas.

Estos certificados de conformidad con el reglamento eIDAS garantizan que se respetan las normas de seguridad y confidencialidad impuestas por el eIDAS.

Según el artículo 3, párrafo 19, del Reglamento eIDAS, un proveedor de servicios de confianza puede ser una persona física o jurídica que presta uno o varios servicios de confianza. Puede ser cualificada o no cualificada.

Cuando un prestador de servicios de confianza cualificado emita un certificado cualificado para un servicio de confianza, verificará, por los medios adecuados y de conformidad con la legislación nacional, la identidad y, en su caso, los atributos específicos de la persona física o jurídica a la que emita el certificado cualificado.

Al elegir un proveedor de servicios de confianza, puedes asegurarte de que:

• Tus documentos firmados electrónicamente tendrán un valor legal reconocido
• todas tus transacciones digitales serán fiables, seguras y cumplirán con la normativa eIDAS.

De hecho, estos operadores deben cumplir una serie de normas de seguridad y respetar un estricto proceso de calificación. Un organismo de supervisión certifica que cumplen los requisitos del reglamento eIDAS.

🔵 ¿Tiene el mismo valor legal una firma digital que una firma manuscrita en el marco del eIDAS?

Según el artículo 25-2 del Reglamento eIDAS, toda firma electrónica es admisible como prueba ante los tribunales y, por tanto, tiene valor jurídico. Una firma electrónica no puede ser rechazada como prueba en un tribunal, simplemente porque no está en formato manuscrito.

Además, con la firma electrónica cualificada, que es el mayor nivel de seguridad y fiabilidad posible, "el efecto jurídico (...) es equivalente al de una firma manuscrita".

🔵 ¿Cuándo utilizar la firma simple, la firma avanzada y la firma electrónica cualificada?

Estos son algunos otros ejemplos en los que puedes utilizar cada tipo de firma electrónica:

• Firma simple: se utiliza en el caso de riesgos jurídicos o financieros bajos, como los contratos de arrendamiento, los contratos de trabajo, los presupuestos o los informes de gastos.
• Firma electrónica avanzada: se utiliza cuando los riesgos de litigio son moderados, como los contratos no sujetos a una normativa específica, como los contratos de crédito, los contratos de seguro de vida, etc;
• Firma electrónica cualificada: se utiliza imperativamente cuando los riesgos son elevados, como las transacciones financieras reguladas y/o de alto valor, o los documentos de contractualización de alto riesgo que requieren la forma escrita como prueba.

🔵 ¿Qué es una autoridad de certificación?

Una autoridad de certificación (CA) es una organización de confianza (por ejemplo, una empresa o una autoridad administrativa) que puede emitir y gestionar certificados digitales en nombre de los usuarios.

Estos certificados garantizan la validez, la fiabilidad y el nivel de seguridad de sus firmas electrónicas, de acuerdo con el reglamento eIDAS.

Si tu empresa se encuentra establecida en España, puedes optar por un proveedor de servicios de confianza de tu elección ya sea español o de cualquier otro Estado que forme parte de la Unión Europea.

Para tus firmas electrónicas cualificadas a nivel europeo, debes elegir tu dispositivo o solución entre los proveedores de servicios de confianza certificados, agrupados por la Comisión Europea en listas (European Union Trusted Lists - EUTL) y reconocidos como fiables por todos los Estados miembros.

En España, el Ministerio de Asuntos Económicos y Transformación Digital, se puso a la tarea de crear una lista de prestadores de servicios electrónicos de confianza para permitir a las empresas consultar toda la información sobre la validez y los servicios que cada proveedor presta.