La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos o ley de regulación de servicios electrónicos de confianza entró en vigor el 13 de noviembre de 2020.

El objeto de esta Ley es regular algunos aspectos introducidos en el Reglamentos (UE) 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, (en adelante “el Reglamento”).

La Ley es de obligado cumplimiento para aquellas entidades prestadores públicos y privados de servicios electrónicos de confianza establecidos en España y residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España siempre y cuando ofrezcan servicios no supervisados por la autoridad competente de otro país de la UE y que ofrezcan servicios electrónicos de confianza.

La adaptación al Reglamento implica que únicamente las personas físicas estarán capacitadas para firmar electrónicamente. En este sentido, no se prevé la emisión de certificados de firma electrónica a favor de personas jurídicas u otras entidades sin personalidad jurídica. No obstante, las personas jurídicas podrán actuar por medio de los certificados de firma de aquellas personas físicas que les representen.

Efectos jurídicos de los documentos y certificados electrónicos

La vigencia de los certificados electrónicos tendrá una duración máxima de cinco años, dependiendo de las características y tecnología que se emplee para generar los datos de creación de firma, sello o autenticación de sitio web. Dicha vigencia podrá ser revocada o suspendida por parte de la entidad emisora o de un organismo oficial, según lo establecido en el artículo 5.

De acuerdo con lo anterior, y en casos de suspensión, la vigencia del certificado terminará si transcurrido el plazo de la suspensión, el prestador no la hubiera levantado. No obstante, el “encadenamiento” en la renovación de certificados cualificados estará permitido solo una vez, y ello, teniendo en cuenta motivos de seguridad.

Obligaciones y responsabilidad de los prestadores de servicios electrónicos de confianza

Un prestador de servicios de confianza es una entidad u organización que se encarga de crear, verificar y validar todos los servicios inherentes a la firma electrónica.

En este sentido, los prestadores de servicios electrónicos de confianza tienen las siguientes obligaciones y responsabilidades:

  • Todos los prestadores de servicios de confianza deben estar registrados ante el organismo competente, que mantendrá los listados de prestadores de confianza cualificados y no cualificados.
  • Deben notificar en el menor tiempo posible al Ministerio de Asuntos Económicos y Transformación Digital, a la Agencia Española de Protección de Datos y a los usuarios cuyos datos personales se hayan visto afectados, los incidentes de seguridad que pongan en riesgo
  • Aquellos prestadores de servicios electrónicos que pertenezcan al sector privado, deberán contar con un seguro de responsabilidad civil para poder operar con garantías.
  • Asimismo, deben informar del cese de su actividad a los usuarios de sus servicios y al órgano de supervisión con una antelación de dos meses.
  • Deberán conservar la información durante 15 años.
  • Los prestadores de servicios tienen la obligación de atender a las solicitudes sobre el derecho a la portabilidad de datos.

En este sentido, y según establece el artículo 10 de la ley “Los prestadores de servicios electrónicos de confianza asumirán toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios electrónicos de confianza, incluyendo las actuaciones de comprobación de identidad previas a la expedición de un certificado cualificado”.

Régimen sancionador

Las infracciones de esta Ley se clasifican en muy graves, graves y leves. De este modo, los prestadores que incumplan sus obligaciones, sin perjuicio de la posibilidad ya prevista en el artículo 20.3 del Reglamento mencionado anteriormente, de retirar la cualificación o servicio que presta, podrán ser excluidos de la lista de confianza publicada por el Ministerio.

Además, las sanciones podrán conllevar una multa de hasta 300.000, las mas graves y 50.000€ las leves.