Aprobada la nueva Ley de Servicios Electrónicos de Confianza que deroga la Ley de Firma Electrónica 59/2003

El pasado miércoles 11 de noviembre de 2020 fue aprobada definitivamente por las Cortes Generales la Ley 6/2020, reguladora de determinados aspectos de los servicios electrónicos de confianza (la “LSEC”), después de un larguísimo proceso de tramitación parlamentaria que se ha extendido durante más de dos años.

Como hemos venido informando en publicaciones anteriores, esta nueva Ley -que entró en vigor el viernes 13 de noviembre- no pretende regular de manera completa la firma electrónica, aunque sí deroga definitivamente la ya desfasada Ley 59/2003, de Firma Electrónica. El grueso de esa regulación está en el Reglamento (UE) 910/2014, sobre identificación electrónica y servicios electrónicos de confianza (el “Reglamento eIDAS”), que la LSEC solo complementa.

Las principales novedades de esta Ley (que ya anticipamos aquí) se mantienen en su versión final, aunque cabe destacar dos cambios de última hora incorporados en la fase final tras las enmiendas de los distintos grupos parlamentarios:

• Reconoce que existen métodos de identificación a distancia que podrían aportar una seguridad equivalente en términos de fiabilidad a la presencia física. La LSEC menciona la videoconferencia o video-identificación, aunque no limita a esos los métodos que podrían aportar una seguridad equivalente. Como ya indicamos en publicaciones anteriores sobre esta materia, las condiciones y requisitos técnicos deberán determinarse mediante orden emitida por el Ministerio de Asuntos Económicos y Transformación Digital.

• La lista oficial de prestadores de servicios de confianza no cualificados deberá incluir una descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados.

Uno de los aspectos globales más relevantes de la LSEC es la ventaja probatoria en juicio que concede a los servicios electrónicos de confianza en caso de impugnación de la autenticidad, integridad, precisión de fecha y hora u otras características de un documento electrónico vinculadas a un servicio electrónico de confianza cualificado. Para esos casos, la LSEC introduce una presunción de validez de que el servicio de confianza se habrá prestado correctamente si figuraba, en el momento relevante, en la lista de confianza publicada por el Ministerio de Asuntos Económicos y Transformación Digital. Para la introducción de este nuevo régimen la Ley incorpora una modificación del actual redactado del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

La LSEC también aborda cuestiones específicas sobre los servicios de confianza tales como la vigencia, caducidad, revocación y suspensión de los certificados electrónicos, que no podrán tener una duración superior a 5 años, así como el régimen de identidad y atributos de los titulares de certificados cualificados.

Además, incorpora un conjunto de obligaciones que deberán cumplir los prestadores de servicios de confianza, entre los que destacan:

• Publicar información veraz y conforme a ley, no almacenar ni copiar datos de creación de firma, sello o autenticación de sitios web (salvo en caso de que se realice la gestión en nombre del titular).

• Disponer de un servicio de consulta accesible al público sobre el estado de validez o revocación de los certificados emitidos.

• En caso de ser prestadores cualificados, conservar la información relativa a los servicios prestados será de 15 años desde la extinción del certificado o la finalización del servicio prestado.

• Constituir un seguro de responsabilidad civil por importe mínimo de 1,5 millones de euros y 500.000 euros adicionales por cada tipo de servicio cualificado prestado.

• Deber de aviso con dos meses de antelación en caso de cese de actividad por parte del prestador de servicios cualificado a sus clientes y al órgano de supervisión.

• Poder a disposición del público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita, la declaración de prácticas de los servicios electrónicos de confianza, que contendrá la descripción sobre la forma en la que prestan el servicio, garantías sobre el cumplimiento de las obligaciones legalmente exigibles e incluirá información sobre la manera correcta de utilización de los servicios.

• Notificar al Ministerio de Asuntos Económicos y Transformación Digital, las violaciones de seguridad o pérdidas de la integridad o, en su caso, la notificación a la Agencia Española de Protección de Datos.

Otro aspecto destacable es el régimen de responsabilidad de los prestadores de servicios electrónicos, que deberán responder por los daños y perjuicios que causen a cualquier persona en el ejercicio de su actividad cuando incumplan sus obligaciones legales, así como asumir toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen en todo o en parte funciones necesarias para la prestación de sus servicios. La Ley, no obstante, establece límites a dicha responsabilidad, por ejemplo, en caso de falta de veracidad de los datos proporcionados por sus clientes o en caso de que no se comunique su modificación o por usos negligentes de certificados.

Los prestadores de servicios de confianza también se enfrentan a un nuevo régimen de infracciones y las sanciones aplicables por el Ministerio de Asuntos Económicos y Transformación Digital o la Secretaría de Estado de Digitalización e Inteligencia Artificial y que podrán alcanzar importes de hasta 300.000 euros en función de la escala de gravedad a la que correspondan.

Y por último, pero no menos importante, cabe destacar que la LSEC aprovecha también para definir el régimen sancionador a los incumplimientos del Reglamento (UE) 2019/1150 sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (el “Reglamento P2B”) que comentamos aquí, que podrá alcanzar sanciones de hasta 150.000 euros en función de la gravedad, y del Reglamento (UE) 2018/302, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior (el “Reglamento de Geo-bloqueo”), cuyo incumplimiento se reputará desleal a los efectos de la Ley de Competencia Desleal y sin perjuicio de la aplicabilidad también del régimen sancionador del Texto Refundido de la Ley General para la Defensa de Consumidores y Usuarios, según corresponda.