Análisis del reglamento europeo eIDAS y la firma electrónica
El 23 de julio de 2014, el Consejo de la Unión Europea anunciaba la adopción definitiva del nuevo reglamento eIDAS (en inglés: Electronic Identification and Trust Services) sobre identificación electrónica y servicios de confianza para las transacciones electrónicas dentro del mercado interior.
El reglamento eIDAS define y regula la uso de diversos tipos de servicios de confianza:
- Emisión de certificados de autenticación de sitios web,
- Sello de tiempo,
- Firma electrónica,
- Sello electrónico,
- Servicios electrónicos de envío certificado.
Este texto, publicado el 28 de agosto de 2014 en el boletín oficial de la Unión Europea con número de referencia (UE) 910/2014, realizó profunda transformación del marco jurídico europeo. Permite que los usuarios puedan beneficiarse de un espacio único y seguro para realizar la mayoría de las transacciones electrónicas en Europa.
El reglamento europeo eIDAS, un auténtico mercado Europeode confianza digital
El reglamento eIDAS no es solo una actualización de la Directiva de 1999, deroga la directiva 1999/93/CE que únicamente regulaba la firma electrónica. De este modo, el reglamento eIDAS instaura un marco jurídico mucho más general para los diversos tipos de transacciones electrónicas realizadas dentro del mercado interior.
El reglamento eIDAS se aplica de manera total y directa en Europa y no da lugar a transposiciones legislativas nacionales por parte de los Estados. Este reglamento sustituye a las leyes nacionales, lo que ha llevado a determinados países a realizar profundas modificaciones legislativas en materia de firmas y de identificación electrónica. Del mismo modo, las normas nacionales, como el RGS francés, han tenido que ajustarse a este reglamento.
Con el reglamento eIDAS, un documento electrónico constituye una prueba
De hecho, en el capítulo IV del reglamento eIDAS se estipula que los documentos electrónicos no pueden ser rechazados como pruebas ante la justicia por el único motivo de ser presentados en formato electrónico. En el año 2016, y en un contexto en el que determinados aspectos del mundo digital podían generar reticencias, es notable que este aspecto haya sido incluido en un reglamento.
Servicios de confianza regulados en toda Europa
El reglamento eIDAS establece la noción de servicio de confianza cualificado y de Prestador cualificado de Servicios de Confianza (PSCo) para todos los servicios (firma, sello de tiempo, etc). Estos operadores deben cumplir con un determinado número de requisitos de seguridad y deben seguir un proceso de cualificación para certificar que han cumplido con el reglamento.
A cambio, los usuarios tienen la garantía que están utilizando servicios cualificados o de que están recurriendo a un PSCo cualificado que cumple con los requisitos del reglamento europeo eIDAS.
Impuestas desde hace varios años por la Comisión Europea a los Estados miembros, las listas de Prestadores de Servicios de Confianza son auténticas referencias consideradas fiables por los diferentes Estados de la Unión. En Francia, la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) es el organismo nacional encargado de implementar el reglamento.
Reconocimiento mutuo de las identificaciones electrónicas en Europa
El reglamento eIDAS presta especial atención a los medios de identificación electrónica que, además, son gestionados de manera independiente respecto del resto de los servicios de confianza. Se establecen tres niveles de seguridad diferentes en función del grado de fiabilidad: nivel de garantía bajo, sustancial y alto.
Asimismo, el reglamento eIDAS fomenta la implantación de los niveles sustancial y alto para alcanzar la interoperabilidad de los medios de identificación electrónica en Europa. En resumen, todos los servicios públicos europeos deben poder aceptar los medios de identificación sustancial y alto, independientemente del Estado en los que se implementen.
Introducción del sello de tiempo a nivel europeo por el reglamento eIDAS
Aunque el sello de tiempo disponía de un marco jurídico claro y maduro en Francia gracias, principalmente, al reglamento RGS, este elemento aún no estaba contemplado en el Derecho europeo. El reglamento eIDAS pone fin a esta situación a través de la regulación tanto del sellado de tiempo como del sello de tiempo cualificado.
Cabe recordar que el sello de tiempo garantiza la existencia de un archivo en una fecha determinada y certifica que dicho archivo no ha sido modificado desde dicha fecha (principio de integridad). Por tanto, un documento sellado con un sello de tiempo cualificado goza de una presunción de exactitud en cuanto a su fecha, su hora y su integridad en todas las jurisdicciones europeas.
El reglamento eIDAS establece distintos tipos de firma electrónica
Todos los textos jurídicos publicados antes del reglamento europeo eIDAS otorgaban una gran importancia a la generación de certificados y a la creación de firmas electrónicas. En cambio, no abordaban en suficiente profundidad de qué forma se deben verificar y validar las firmas.
El reglamento eIDAS rectifica en este sentido y dedica dos de sus artículos a la confirmación de las firmas cualificadas. Asimismo, establece tres niveles de firma: simple, avanzado y cualificado. No obstante, ha surgido un cuarto nivel de la práctica comercial: la firma avanzada con certificado cualificado.
Universign, Prestador cualificado de Servicios de Confianza conforme al reglamento eIDAS
En su condición de PSCo cualificado según el reglamento europeo eIDAS, los servicios de confianza de Universign garantizan la identidad del firmante y la integridad del documento.
Como Prestador Cualificado de Servicios de Confianza, la labor de Universign consiste en llevar la responsabilidad jurídica y de seguridad a la hora de ofrecer servicios de firma electrónica que confieren valor probatorio a los documentos firmados (conforme al reglamento europeo eIDAS).
Universign es una entidad controlada por la Agencia de Seguridad de los Sistemas de Información (ANSSI), quien le concede sus cualificaciones. Además, Universign ha sido una de las primeras entidades en obtener los visados de seguridad de esta autoridad. Esto sirve para identificar fácilmente las soluciones informáticas más fiables.
Asimismo, Universign es una entidad periódicamente auditada por LSTI. Este organismo independiente de evaluación de conformidad es el único organismo autorizado por la ANSSI para cualificar a los PSCo.