Las 6 preguntas clave para entender el eIDAS
Con la llegada de los servicios digitales empezó a hacer falta un estándar o normativa que garantizase la seguridad en las operaciones a distancia.
A grandes rasgos, así surge el eIDAS. En esta publicación, tratamos 6 preguntas clave para entender el eIDAS de una forma sencilla. ¿Comenzamos?
1 – ¿Qué es el eIDAS?
El eIDAS es un marco normativo que regula la identificación digital y los servicios de confianza en Europa, es decir, estandariza los requisitos necesarios para realizar transacciones de forma online.
Esta normativa asienta un marco jurídico y de seguridad común para los Estados miembros, en el que se recogen las condiciones para reconocer a personas físicas y jurídicas a través de medios de identificación electrónica.
En concreto, el eIDAS regula las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada (email certificado) y los servicios certificados para la autenticación de sitios web (ahondamos en estos puntos en la pregunta 6).
En definitiva, el eIDAS es una herramienta para facilitar las transacciones electrónicas transfronterizas seguras. Se trata de un elemento clave para permitir la conexión de servicios electrónicos y sistemas de identificación entre administraciones europeas.
eIDAS son las siglas de Electronic IDentification, Authentication and trust Services. En castellano, sistema europeo de reconocimiento de identidades electrónicas.
⚠️ El Reglamento eIDAS se aprobó en julio de 2014, y posteriormente se añadieron varias modificaciones. Actualmente todos los miembros de la UE aceptan la identificación electrónica (eID) de los otros Estados miembro.
¿Qué información contiene el Reglamento del eIDAS?
En un eIDAS se divide en cuatro bloques:
- En el primero, define el reglamento y los requisitos básicos que se deben adoptar.
- En el segundo, establece los estándares para cumplir el reglamento.
- En el tercero, explica las normas de la implementación de la UE (los desglosamos en la pregunta 6).
- Y, por último, las normas nacionales que pueden ampliar o adaptar.
2 – ¿Cuál es el objetivo del eIDAS?
El objetivo del eIDAS, en consonancia con el fin para el que fue creada la Unión Europea, es facilitar cualquier tipo de transacción electrónica entre ciudadanos, empresas y administraciones públicas de cualquier Estado de la Unión.
Es decir, este reglamento se crea para que los ciudadanos de la UE puedan acceder de forma fácil y segura a cualquier servicio, público o privado, ofrecido por cualquier Estado o empresa europeo. En definitiva, se trata de avanzar hacia un verdadero mercado único digital.
El eIDAS nace como herramienta de apoyo a la creación de un Mercado Único Digital en la Unión Europea.
3 – ¿Por qué es importante el eIDAS?
El marco regulatorio que establece el eIDAS es importante porque establece las bases para la gestión de operaciones y transacciones sensibles en remoto, sin comprometer la seguridad de los ciudadanos. En concreto, el Reglamento eIDAS es importante porque:
- Garantiza que empresas y personas puedan acceder a servicios públicos online de otros países de la UE, facilitando la interoperabilidad.
- Favorece la digitalización y avala que los servicios online tienen la misma validez que los presenciales.
- Formaliza el marco legal para la identificación digital o electrónica y los servicios de confianza que se utilizan en las transacciones digitales.
- Establece las pautas de supervisión y responsabilidad que los proveedores de servicios de confianza deben cumplir.
- Simplifica el acceso a los servicios públicos y a los trámites con las administraciones públicas.
- Estimula la creación de servicios digitales innovadores.
- Mejora la experiencia online de los ciudadanos de la UE.
- Desde el punto de vista de las empresas, esta normativa favorece la transformación digital de sus procesos burocráticos y les permite reducir costes y tiempos. En cuanto a los usuarios, esta normativa se traduce en comodidad y libertad de movimientos, sin esperas y sin desplazamientos, contando con plenas garantías.
4 – ¿Cuál es el origen del eIDAS?
El origen del eIDAS que conocemos en la actualidad se remonta al año 1999 (concretamente, a la Directiva 1999/93/CE, que establecía un marco regulatorio comunitario para la firma electrónica). Por aquel entonces se establecieron algunas pautas comunes para estandarizar el uso de la firma electrónica en la Unión Europea.
Con la Directiva 1999/93/CE se equiparaba la validez de las firmas electrónicas a las firmas manuscritas (incluyendo su validez en los tribunales).
El problema fundamental de esta primera directiva era que incluía lagunas regulatorias y que cada Estado miembro podía interpretarla a su manera. Por ejemplo, cada país tenía una forma de identificar usuarios en los servicios electrónicos, que no tenía por qué coincidir con los mecanismos de otros países.
En realidad, esto iba en contra de la propia intención de la norma, ya que, bloqueaba muchos procesos y ponía trabas a la interoperabilidad. De hecho, suponía una gran complicación para el reconocimiento y la validez de las firmas electrónicas entre países.
Por eso, en 2006 se decreta una ley vinculante para toda la UE con el objetivo de crear un sistema de firma electrónica único (en concordancia con el objetivo último de crear un Mercado Único Digital).
Y ya en 2014, se publica el eIDAS, el Reglamento (UE) Nº 910/2014 sobre la identificación electrónica y servicios de confianza. De este modo, se amplía la normativa no solo a la firma electrónica, sino también a los servicios de confianza.
El eIDAS entró en vigor el 1 de julio de 2016 en toda la Unión Europea como Reglamento (es decir, aplicándose directamente en todos los Estados miembro) para establecer un nuevo marco jurídico para la firma electrónica y servicios de confianza en Europa.
Con esta ampliación, se pretendía:
- Eliminar las diferencias y fronteras entre los países miembros en materia de identificación de ciudadanos y validez de firmas electrónicas
- Agilizar servicios, aumentar la eficacia y reducir costes
- Potenciar la transparencia y confianza en los servicios públicos públicos y privados online
5 – ¿A quién impacta el eIDAS?
El reglamento impacta directamente a los proveedores de servicios de confianza, ya que, les impone unos requisitos específicos a la hora de implementarse y funcionar.
El eIDAS también se aplica a servicios comerciales y a cualquier organización que requiera realizar transacciones a través de la red pública, que impliquen asuntos comerciales o legales en los que se necesita verificar la identidad de los implicados. Como, por ejemplo, contratos legales y de seguros, acuerdos bancarios, facturación electrónica, estados fiscales, alquileres, etc.
Por su parte, la administración pública también se ve afectada, ya que, deberá reconocer los formatos de firma estándar y las identidades paneuropeas.
En cuanto al consumidor individual de este tipo de servicios, esto es, los ciudadanos europeos no tienen que preocuparse por el cumplimiento de eIDAS. El cumplimiento recae en las entidades que ofrecen servicios de confianza.
6 – ¿Qué regula el eIDAS? ¿Qué cubre el reglamento?
Como venimos comentando, el eIDAS estipula un conjunto de normas relacionadas con la identificación electrónica y los servicios de confianza. Y, en concreto, regula las siguientes herramientas electrónicas:
Identificación electrónica
→ El eIDAS se encarga de estandarizar la identificación electrónica en todos los Estados miembros de la UE.
La identificación electrónica electrónica hace referencia al método de verificación de identidad que emplean las entidades para confirmar la identidad de sus nuevos clientes de forma digital (es decir, comprobar que son quien dicen ser).
Servicios fiduciarios
→ El eIDAS establece las normas que rigen los servicios de confianza para la autenticación y las firmas.
Los servicios fiduciarios, entendidos como contratos entre dos partes, que se realizan para llevar a cabo un determinado proyecto.
Servicios de confianza
→ El eIDAS establece las normas según las que se establecen y funcionan los servicios de confianza, en concreto, para las transacciones electrónicas.
Los servicios de confianza son herramientas electrónicas que ayudan a varias partes a asentar transacciones u operaciones vinculantes.
El Reglamento eIDAS recoge los siguientes servicios de confianza:
- La creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios.
- La creación, verificación y validación de certificados para la autenticación de sitios web.
- La preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.
Firma electrónica
→ El eIDAS define tres categorías de firmas electrónicas, según las pruebas que se requieren para demostrar que la firma es auténtica.
Por firma electrónica se entiende una confirmación electrónica de que se está de acuerdo con el contenido de un documento, es decir, la firma electrónica representa a una y confirma su voluntad.
Más info aquí.
Sellos electrónicos
→ En el eIDAS regula dos tipos de sellos electrónicos:
- Sellos electrónicos. Se trata de una declaración electrónica, que asocia una documentación a una persona jurídica.
- Sellos de tiempo, pueden ser avanzados o cualificados. Se corresponden con datos en formato electrónico, vinculados con un instante concreto.
Los sellos electrónicos se pueden definir como datos vinculados a una información electrónica y que garantizan su integridad y su procedencia. Certifican autenticidad y tienen validez jurídica.
Notificaciones
→ Y, por último, el eIDAS dispone las reglas sobre los servicios de entrega electrónica certificada.
El reglamento entiende el servicio de entrega electrónica certificada como un servicio que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizada.
Recursos TOP para ahondar en el tema
- 526 Reglamento eIDAS (UE) 910/2014 servicios de confianza y LSEC (Ley 6/2020), en el canal ViCoTAE, de Miguel Solano Gadea
- Guidelines on Supervision of Qualified Trust Services › descargar
- The eIDAS Regulation For Dummies › ver