Reglamento (UE) 910/2014 | ||
---|---|---|
Título | Reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE | |
Hecho por | Parlamento Europeo y Consejo de la Unión Europea | |
Fecha de aprobación | 23 de julio de 2014 | |
Legislación vigente | ||
El sistema europeo de reconocimiento de identidades electrónicas (conocido por sus siglas en inglés eIDAS, electronic IDentification, Authentication and trust Services) es un Reglamento de la Unión Europea (UE) sobre / un conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo. Se estableció en el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.[1][2]
El Reglamento proporciona el entorno regulatorio para los siguientes aspectos importantes relacionados con las transacciones electrónicas:[1]
El Reglamento eIDAS surgió a partir de la Directiva 1999/93/CE, que establecía el objetivo que debían alcanzar los Estados miembros de la UE en materia de firma electrónica. Los Estados más pequeños fueron de los primeros en empezar a adoptar la firma y la identificación digitales; por ejemplo, la primera firma digital estonia se realizó en 2002 y la segunda Letonia en 2006. Su experiencia ha servido para desarrollar una normativa, ahora de ámbito comunitario, que se convirtió en ley vinculante en toda la UE desde el 1 de julio de 2016.[4] La directiva responsabilizaba a los Estados miembros de la UE de crear leyes que les permitieran cumplir el objetivo de crear un sistema de firma electrónica en la UE. La directiva también permitía que cada estado miembro interpretara la ley e impusiera restricciones, impidiendo así la interoperabilidad real, y conduciendo hacia un escenario fragmentado.[5] En contraste con esta directiva, el eIDAS asegura el reconocimiento mutuo del eID para la autenticación entre los Estados miembros,[6] logrando así el objetivo del Mercado Único Digital.
El eIDAS ofrece un enfoque escalonado del valor legal. Exige que a ninguna firma electrónica se le nieguen los efectos jurídicos o la admisibilidad en los tribunales por el mero hecho de no ser una firma electrónica avanzada o cualificada.[7] A las firmas electrónicas cualificadas se les debe dar el mismo efecto jurídico que a las firmas manuscritas.[8]
En el caso de los sellos electrónicos (versión de las firmas de las personas jurídicas), se aborda explícitamente el valor probatorio, ya que los sellos deben gozar de la presunción de integridad y de la corrección del origen de los datos adjuntos.[9]
La información de la base de datos tiene que estar vinculada a algún tipo de número de identidad. Certificar que una persona tiene derecho a acceder a cierta información personal implica varios pasos.
Conectar a una persona con un número, lo que puede hacerse mediante métodos desarrollados en un país, como los certificados digitales.
Conectar un número a una información específica, lo que se hace en bases de datos.
Para el eIDAS es necesario conectar el número utilizado por un país que tiene información, con el número utilizado por el país que emite los certificados digitales.
El eIDAS tiene como concepto mínimo de identidad, el nombre y la fecha de nacimiento. Pero para acceder a información más sensible, se necesita algún tipo de certificación de que los números de identidad emitidos por dos países se refieren a la misma persona.[10]
EUTL (European Union Trusted Lists) es una lista pública con más de 200 proveedores de servicios de confianza (TSP), activos o previos, específicamente acreditados para ofrecer los más altos niveles de conformidad con el reglamento de firma electrónica eIDAS de la Unión Europea. Estos proveedores ofrecen ID digitales basados en certificados para individuos, sellos digitales para empresas y servicios de marca de hora que pueden usarse para crear firmas electrónicas reconocidas (QES, de Qualified Electronic Signatures) basados en tecnología de firma digital. En eIDAS únicamente las firmas reconocidas son legal y automáticamente equivalentes a las firmas manuscritas. Y son los únicos tipos de firmas automáticamente reconocidos en transacciones internacionales entre Estados miembros de la UE. Cada estado miembro de la UE supervisa a los proveedores del propio país, pero una vez aprobado un TSP en un país, sus servicios se pueden vender en otros países de la UE con el mismo nivel de conformidad. [11]
En octubre de 2019, investigadores de seguridad descubrieron dos fallos de seguridad.[12] Ambas vulnerabilidades fueron corregidas para la versión 2.3.1 de eIDAS-Node,[12] el paquete de software oficial que se ejecuta en servidores públicos y privados.[13]