El reglamento europeo nº 910/2014 relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (eIDAS) supone un cambio de paradigma en la identificación digital y firma electrónica.
Establece la figura de los prestadores de servicios de confianza, persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado (cumple con los requisitos aplicables establecidos en el reglamento y el organismo de supervisión ha concedido la cualificación) o como prestador no cualificado de servicios de confianzas.
Un servicio de confianza es el servicio electrónico prestado habitualmente a cambio de una remuneración. Se basa en tres aspectos:
- La creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios.
- La creación, verificación y validación de certificados para la autenticación de sitios web
- La preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.
El reglamento regula la figura del prestador cualificado de servicios de confianza en todos los estados de la UE, a través de un informe de evaluación de la conformidad y estará sometido a auditoría al menos cada 24 meses por parte del organismo de supervisión. Por tanto tiene la función de trasladar la seguridad jurídica y la confianza a los procesos de firma electrónica, sello electrónico, sello de tiempos, entregas electrónicas certificadas y autenticación de sitios web.
El nuevo reglamento abre una puerta a nuevos mecanismo de identificación remota, sin reducir la seguridad en los procesos. Esto es posible gracias al uso de otros medios de identificación electrónicos basados en:
- Identificación presencial previa.
- Certificados de firma electrónica cualificados.
- Sellos electrónicos cualificados, heredando el valor y la confianza de dicho certificado.
- Otros medios de identificación reconocidos a nivel nacional que aporten una seguridad equivalente y confirmada por un organismo de evaluación de la conformidad.
Se introduce la identificación electrónica con niveles de identificación bajo y sustancial (además de alto) que posiblemente abrirán la posibilidad de uso de otros mecanismos de identificación como soluciones de firma en la nube, las claves de un solo uso (OTP) enviadas al correo electrónico y/o al teléfono móvil, las firmas manuscritas en los dispositivos móviles, etc.
El reglamento reconoce la admisibilidad como prueba en un juicio y su efecto jurídico en todas las firmas electrónicas aunque solo equipara las firmas electrónicas cualificadas con las firmas manuscritas y a los sellos electrónicos cualificados les otorga la presunción de integridad y corrección del origen de los datos a los que el sello esté vinculado.
Podemos decir que el reglamento eIDAS supone una ruptura aperturista en la gestión de certificados electrónicos, permitiendo trabajar con soluciones que facilitan mayor usabilidad manteniendo la seguridad. Una legislación necesaria sobre protección de datos en un mundo digital que garantiza unos estándares de protección en toda la Unión Europea adaptados a una nueva sociedad cada día más digital.