Art. [preambulo]
En vigor desde 15 may 2021
I
El Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, contempla la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física.
La emergencia sanitaria generada por la crisis de la COVID-19 ha exigido durante el estado de alarma el confinamiento de la ciudadanía y la drástica limitación de los desplazamientos personales, con vistas a frenar el crecimiento de los contagios. De forma transitoria y excepcional, a través de la disposición adicional undécima del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente a la COVID-19, se habilitó un sistema temporal de identificación remota para la obtención de certificados cualificados, con el fin de contribuir a reducir los desplazamientos de los ciudadanos para realizar trámites, sin mermar sus derechos.
Con el fin de implantar de forma permanente y con plena seguridad jurídica dicha posibilidad, el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, habilita a que mediante orden ministerial de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinen las condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, que permitan la implantación de los citados métodos por parte de los prestadores de servicios electrónicos de confianza, en razón de las especificidades propias de este sector y las obligaciones de seguridad a que están sujetos los prestadores cualificados.
Asimismo, se constata la existencia de una necesidad, manifestada por los prestadores de servicios electrónicos de confianza, de dotar al ordenamiento jurídico español de una norma específica que les permita utilizar esta ventaja competitiva en la provisión de sus servicios, y que les habilite a identificar de forma remota por vídeo a los solicitantes de certificados cualificados, de forma que puedan seguir expandiendo su actividad y competir con los prestadores establecidos en otros países que ya disponen de una normativa nacional a tal efecto. Al respecto, es destacable que España es el país de la Unión Europea con un mayor mercado de prestadores de servicios electrónicos de confianza, tal y como se refleja en la Lista española de Prestadores Cualificados ( Trusted Services List , o TSL), mantenida por el Ministerio de Asuntos Económicos y Transformación Digital como órgano supervisor.
II
En cuanto a las medidas organizativas y procedimentales que deberán implantar los prestadores, es importante señalar que deben ser proporcionales a los riesgos y adecuadas a la naturaleza de estos servicios, pilares de la construcción de otros servicios digitales de valor añadido. Al respecto, se han de tener en consideración las necesidades procedimentales y de seguridad específicas de la expedición de certificados cualificados de utilización universal y que constituyen un auténtico alter ego digital de la persona.
En este sentido, esta orden ministerial especifica el procedimiento que debe seguirse para la identificación remota por vídeo de un solicitante, así como los requisitos y las acciones mínimas que deben llevar a cabo los prestadores para detectar los intentos de suplantación de identidad o posibles manipulaciones de las imágenes o los datos del documento de identidad. Dichos métodos de identificación remota por vídeo no prejuzgan la existencia de otros sistemas de identificación a distancia amparados por el artículo 24.1 del mencionado Reglamento (UE) 910/2014, que no son objeto de regulación en esta orden.
Entre otras medidas, se exige verificar la autenticidad y validez del documento de identidad, así como su correspondencia con el solicitante del certificado. Para ello, el sistema de identificación remota por vídeo empleado en el proceso deberá incorporar los medios técnicos y organizativos necesarios para verificar la autenticidad, vigencia e integridad de los documentos de identificación utilizados, verificar la correspondencia del titular del documento con el solicitante que realiza el proceso, mediante tecnologías como el reconocimiento facial, y verificar que este es una persona viva que no está siendo suplantada; debiendo quedar todos estos requisitos acreditados, en los términos que establece el anexo F11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional mediante la certificación del producto. La referencia a la Guía ha de entenderse hecha siempre a la última versión disponible. Así mismo, se exige que el personal encargado de la verificación de la identidad del solicitante verifique la exactitud de los datos del solicitante, utilizando las capturas del documento de identidad utilizado en el proceso, además de cualquier otro medio automático que pudiera ser implementado en los sistemas de identificación remota por vídeo.
Para contribuir a este fin, se contempla la puesta a disposición de los prestadores del acceso a la plataforma de intermediación del Servicio de Verificación y Consulta de Datos, cuyo organismo responsable es la Secretaría de Estado de Digitalización e Inteligencia Artificial, como medio de contrastar los datos de identidad de los solicitantes con una fuente auténtica, en línea con las disposiciones del Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del citado Reglamento (UE) 910/2014.
III
Con objeto de acreditar el cumplimiento de los requisitos de seguridad exigibles a las herramientas utilizadas en los procesos de identificación remota, los prestadores utilizarán productos cuya funcionalidad de seguridad esté certificada según las metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información). Es importante señalar que la evaluación y certificación de un producto de seguridad de las Tecnologías de la Información y la Comunicación (TIC) es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura.
Con el fin de adaptarse de forma ágil al continuo avance de la tecnología, esta orden ministerial hace referencia a las correspondientes guías técnicas elaboradas y actualizadas por el Centro Criptológico Nacional, en relación con las características y requisitos puramente tecnológicos aplicables a los productos y herramientas de identificación remota por vídeo para garantizar un adecuado nivel de seguridad de los mismos.
Del mismo modo, se considerarán los estándares que, en su caso, sean adoptados a nivel europeo e internacional, en particular por el Instituto Europeo de Normas de Telecomunicaciones (ETSI).
Asimismo, esta orden ministerial deberá aplicarse de manera que se cumplan las obligaciones del Reglamento (UE) 2016/679, del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, así como el resto de la normativa sobre protección de datos personales, particularmente la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Dentro de las obligaciones de seguridad que esta orden impone a los prestadores de servicios de confianza, se contempla un análisis de riesgos que contemple las medidas técnicas y organizativas adecuadas con respecto a los datos personales, conforme al citado Reglamento (UE) 2016/679.
IV
De acuerdo con lo establecido en el artículo 24.1.d) del Reglamento (UE) 910/2014, la seguridad equivalente en términos de fiabilidad a la presencia física deberá ser confirmada por un organismo de evaluación de la conformidad acreditado, que verificará el cumplimiento de los requisitos legales exigidos en esta orden, incluyendo, durante el periodo transitorio hasta la obligatoriedad de la certificación anteriormente señalada, la comprobación del nivel de seguridad del sistema o producto utilizado por el prestador de acuerdo con la guía CCN-STIC-140. Esta comprobación se realizará mediante la evaluación de otras certificaciones, informes, pruebas de laboratorio y otros elementos aportados por el fabricante. El resultado de la misma se reflejará en el informe de evaluación de la conformidad que el prestador cualificado remitirá al órgano de supervisión con carácter previo al ofrecimiento al público de la posibilidad de identificarse de manera remota.
V
Esta norma, dictada al amparo de la habilitación legal contenida en el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, se compone de doce artículos, una disposición transitoria y dos disposiciones finales, y se adecua a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, a los que debe sujetarse el ejercicio de la potestad reglamentaria, de conformidad con lo dispuesto en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Por lo que se refiere a los principios de necesidad y eficacia, esta orden ministerial es el instrumento óptimo para llevar a cabo el desarrollo reglamentario previsto, debido a que es preciso dotar al sector de una regulación específica y susceptible de ágil adaptación que recoja los requisitos técnicos, organizativos y procedimentales aplicables a los métodos de identificación remota por vídeo.
En cuanto al principio de proporcionalidad, esta orden ministerial establece los requisitos apropiados exigibles a los sistemas de identificación a distancia de forma que se garantice la seguridad del tráfico jurídico y el adecuado nivel de protección de los usuarios y actividad económica.
En el procedimiento de elaboración de esta orden se ha tenido en cuenta lo dispuesto en la Ley 50/1997, de 27 de noviembre, del Gobierno, y en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Se sometió el texto a consulta previa a los sujetos directamente afectados, en concreto, los prestadores cualificados de servicios electrónicos de confianza y a los organismos de evaluación de la conformidad acreditados, con objeto de garantizar el acierto y la legalidad de la norma, de acuerdo con el artículo 26.1 de la Ley 50/1997, y se ha sometido al trámite de audiencia e información pública previsto en el artículo 26.6 de la citada ley, posibilitando así la participación activa de los potenciales destinatarios. En ambas fases se han recibido numerosas observaciones que se han tenido en cuenta en la elaboración de este texto. Por lo anterior, se considera cumplido el principio de transparencia.
En relación con el principio de eficiencia, esta orden ministerial no impone cargas administrativas innecesarias, y su desarrollo se ha producido con la mayor celeridad posible.
Por último, se han recabado informes, de conformidad con lo previsto en el artículo 26.5 de la Ley 50/1997, de los siguientes departamentos ministeriales y organismos públicos: Ministerio de Defensa, Ministerio del Interior, Ministerio de Hacienda, Ministerio de Justicia y Ministerio de Sanidad, así como de la Agencia Española de Protección de Datos.
En su virtud, con la aprobación previa del Ministro de Política Territorial y Función Pública y de acuerdo con el Consejo de Estado, dispongo:
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2021/05/06/etd465#preambulo-pr