BOE.es - CE-D-2021-244

Consejo de Estado: Dictámenes

Número de expediente: 244/2021 (ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL)

Referencia:: 244/2021
Procedencia:: ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL
Asunto:: Proyecto de Orden de regulación de los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados.
Fecha de aprobación:: 22/04/2021

TEXTO DEL DICTAMEN

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 22 de abril de 2021, emitió, por unanimidad, el siguiente dictamen:

"En cumplimiento de Orden de V. E. de 30 de marzo de 2021, en la que se hacía constar la urgencia de la consulta, el Consejo de Estado ha examinado el expediente relativo al proyecto de Orden ETD de regulación de los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados.

De antecedentes resulta:

Primero.- Estructura del proyecto

El proyecto de orden ministerial que se consulta comienza por un preámbulo y consta de doce artículos, una disposición transitoria y dos disposiciones finales.

El preámbulo comienza con la cita del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. Este reglamento europeo ("Reglamento eIDAS") prevé la posibilidad de verificación de la identidad del solicitante de un certificado electrónico cualificado utilizando métodos de identificación que garanticen una seguridad equivalente a la presencia física.

Continúa la parte expositiva subrayando que el virus COVID- 19 ha exigido la drástica limitación de los desplazamientos personales, por lo que el Real Decreto-ley 11/2020, de 31 de marzo, contempló un sistema temporal de identificación remota para la obtención de certificados cualificados que permitieran la realización no presencial de trámites. Con el fin de implantar de forma permanente y con plena seguridad jurídica dicha posibilidad, el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, habilita a que, mediante orden del Ministerio de Asuntos Económicos y Transformación Digital, se determinen las condiciones y requisitos técnicos de verificación de la identidad a distancia mediante métodos de identificación como la videoconferencia o la vídeo-identificación. En este punto destaca el preámbulo que España es el país de la Unión Europea con un mayor mercado de prestadores de servicios electrónicos de confianza, tal y como se refleja en la Lista española de Prestadores Cualificados (Trusted Services List, o TSL), mantenida por el Ministerio de Asuntos Económicos y Transformación Digital, como órgano supervisor.

Las medidas organizativas y procedimentales que deberán implantar los prestadores son proporcionales a la importancia de los certificados cualificados de utilización universal que, según el preámbulo, "constituyen un auténtico alter ego digital de la persona". El sistema de identificación remota por vídeo empleado deberá incorporar los medios técnicos y organizativos necesarios para verificar la autenticidad, vigencia e integridad de los documentos de identificación utilizados; verificar la correspondencia del titular del documento con el solicitante que realiza el proceso mediante tecnologías como el reconocimiento facial; y verificar que este es una persona viva que no está siendo suplantada. Como medio para contrastar los datos de identidad de los solicitantes con una fuente auténtica, se pone a disposición de los prestadores la plataforma de intermediación del Servicio de Verificación y Consulta de Datos, cuyo organismo responsable es la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Para acreditar el cumplimiento de los requisitos de seguridad exigibles a las herramientas utilizadas en los procesos de identificación remota, los prestadores utilizarán productos certificados según las metodologías de evaluación reconocidas por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Asimismo, de acuerdo con lo establecido en el artículo 24.1 d) del Reglamento (UE) n.º 910/2014 del Parlamento y del Consejo, de 23 de julio de 2014, la seguridad equivalente en términos de fiabilidad a la presencia física deberá ser confirmada por un organismo de evaluación de la conformidad acreditado, que verificará el cumplimiento de los requisitos legales exigidos en la orden proyectada.

Con arreglo al artículo 1 del proyecto, "esta orden tiene por objeto regular las condiciones y requisitos técnicos mínimos aplicables a la verificación de la identidad y, si procede, otros atributos específicos, de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación distintos a la presencia física que aporten una seguridad equivalente en términos de fiabilidad, de acuerdo con lo previsto en el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza y en el artículo 24.1 d) del Reglamento (UE) 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE".

Según el artículo 2, la orden se aplicará a los prestadores cualificados públicos y privados de servicios electrónicos de confianza establecidos en España, y también a los residentes o domiciliados en otro Estado miembro que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro Estado miembro de la Unión Europea.

El artículo 3 dispone que el tratamiento de datos de carácter personal de las personas físicas se realizará con estricta sujeción a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, así como en el resto de la normativa sobre protección de datos personales.

El artículo 4 establece que el proceso de identificación remota por vídeo se podrá realizar de forma asistida (con la "mediación síncrona de un operador"), o de forma no asistida (sin necesidad de interacción en línea entre un operador y el solicitante, pero "con revisión posterior de un operador").

El artículo 5 dispone que el cumplimiento de los requisitos establecidos en la orden proyectada, deberá ser confirmado por un organismo de evaluación de la conformidad acreditado. El prestador cualificado de servicios de confianza remitirá solicitud para la puesta en operación de procedimientos de identificación remota por vídeo a la Secretaría de Estado de Digitalización e Inteligencia Artificial. Dicha solicitud incluirá una descripción detallada del sistema y su operación, así como el informe de evaluación de la conformidad. El plazo máximo para resolver y notificar será de seis meses.

Conforme al artículo 6, el prestador cualificado de servicios electrónicos de confianza dispondrá de un modelo de gestión continua del riesgo que incluirá un análisis de riesgos específico que se revisará con una periodicidad mínima anual. Asimismo, realizará una evaluación de impacto en la protección de datos personales cuando del análisis realizado resulte probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas; y adoptará medidas técnicas y organizativas adicionales a las indicadas en la orden cuando el resultado del análisis de riesgos efectuado así lo requiera. En relación con los datos de carácter personal, adoptará las medidas técnicas y organizativas apropiadas, según lo establecido en el artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.

El prestador de los servicios empleará un producto de identificación remota por vídeo que cumpla los requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), por parte de un organismo acreditado según la norma ISO/IEC 17065 (artículo 6.d).

El prestador de los servicios de que se trata notificará inmediatamente a la Secretaría de Estado de Digitalización e Inteligencia Artificial cualquier violación de la seguridad o pérdida de integridad que tenga impacto en el servicio. Asimismo, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la Agencia Española de Protección de Datos sin dilación indebida conforme a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.

El artículo 7 regula la formación con la que debe contar el operador encargado de la verificación de la identidad del solicitante de un certificado cualificado mediante identificación remota por vídeo; y añade que el prestador cualificado de servicios electrónicos de confianza dispondrá de un plan de formación que se revisará, como mínimo, anualmente.

El artículo 8 declara que la identidad del solicitante se acreditará mediante los documentos de identidad previstos en la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza; y el artículo 9 regula los requisitos de las instalaciones que se utilicen en el proceso de identificación.

Con arreglo a lo previsto en el artículo 10, se informará al solicitante de las condiciones del proceso de identificación remota por vídeo, de las recomendaciones de seguridad aplicables, y de lo previsto en el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016. Se recabará el consentimiento expreso del solicitante, incluyendo el consentimiento a la grabación íntegra del vídeo y al tratamiento y conservación de categorías especiales de datos personales. En este sentido, se deberá informar al solicitante de otras alternativas existentes para la identificación que no requieran el tratamiento y la conservación de su imagen y sus datos biométricos.

El artículo 10 también se refiere, con carácter no exhaustivo, a las circunstancias en las que el proceso de identificación se interrumpirá o no se considerará válido. Así sucederá cuando las condiciones, seguridad o la calidad de la comunicación impidan o dificulten completar el proceso con la fiabilidad adecuada, así como cuando existan indicios de falsedad, manipulación o falta de validez del documento de identificación; de falta de correspondencia entre el titular del documento y el solicitante; de que la transmisión de vídeo no se ha realizado en tiempo real o de que el proceso no se ha realizado en unidad de acto; de uso de archivos pregrabados; de que para la transmisión de vídeo no se ha utilizado un único dispositivo; o de que el solicitante está siendo coaccionado o intimidado.

Si el proceso de identificación se realiza de forma asistida, el prestador dispondrá de un procedimiento para llevar a cabo la entrevista de identificación del solicitante del certificado y una guía de diálogo para los operadores. Si el proceso de identificación se realiza de forma no asistida, un operador supervisará a posteriori el proceso de identificación grabado y comprobará las pruebas e imágenes generadas por el sistema para aceptar o rechazar la validez del proceso de identificación.

El operador de registro deberá basar su decisión de aprobación o denegación de la solicitud de emisión del certificado en la revisión de todas las pruebas recabadas en el proceso de identificación, incluyendo, al menos, el vídeo, la comprobación de caracteres aleatorios enviados al solicitante, la existencia de elementos de seguridad del documento de identidad extraídos del mismo durante el proceso de identificación y, en su caso, la comparación biométrica realizada.

El artículo 11 establece requisitos para la verificación de la identidad del solicitante y de la autenticidad de su documento de identidad y de la imagen de vídeo. Durante el proceso de registro, cuando el solicitante presente el Documento Nacional de Identidad o el Número de Identidad de Extranjeros, los prestadores comprobarán los datos de identidad del solicitante, utilizando el número del documento, a través de la plataforma de intermediación del Servicio de Verificación y Consulta de Datos que la Secretaría de Estado de Digitalización e Inteligencia Artificial pone a disposición de los organismos públicos o, en su defecto, a través de la plataforma que el órgano de supervisión pondrá a disposición de los prestadores cualificados que no tengan acceso al citado servicio. Asimismo, se tomarán las medidas adecuadas para detectar una posible manipulación de la imagen de vídeo, del documento de identidad o del solicitante.

El artículo 12 dispone que el vídeo realizado, de forma asistida o sin asistencia, se grabará íntegramente y sin interrupciones. Se conservará una copia de la grabación del vídeo durante un periodo mínimo de quince años desde la extinción de la vigencia del certificado obtenido por este medio. También se conservará, por un periodo mínimo de quince años, el resultado automático de la verificación realizada por la aplicación, así como la evaluación y observaciones realizadas por el operador junto a su decisión de aprobación o rechazo de la identificación.

La disposición transitoria única prevé que hasta el 1 de julio de 2022 en que entre en vigor el artículo 6.d) de la orden proyectada, el cumplimiento de los requisitos de seguridad se demostrará mediante otras certificaciones, informes o pruebas en laboratorios o entidades especializadas, que se revisarán por el organismo de evaluación de la conformidad.

Según la disposición final primera, la orden se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, de telecomunicaciones y de seguridad pública, conforme a lo dispuesto en el artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución, respectivamente. Y con arreglo a la disposición final segunda, la orden proyectada entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado, salvo lo dispuesto en el artículo 6.d) que entrará en vigor el 1 de julio de 2022.

Segundo.- Contenido del expediente

En el expediente remitido al Consejo de Estado obran los siguientes documentos:

a) Texto del proyecto y de la memoria del análisis de impacto normativo

Consta en el expediente una primera versión del texto del proyecto, sometida a información pública y a consulta de varias entidades a lo largo de la tramitación del procedimiento. Como resultado de las observaciones formuladas durante dicha tramitación, se elaboró una nueva versión del proyecto que se somete a dictamen del Consejo de Estado.

Al texto acompaña la correspondiente memoria del análisis de impacto normativo. El documento se abre con un resumen ejecutivo, tras el cual desarrolla el análisis del proyecto de orden en distintos apartados:

(i) En el primero de ellos, la memoria analiza la oportunidad de la propuesta, su motivación y los fines que persigue, así como su conformidad con los principios de buena regulación, todo ello en términos similares a los del preámbulo.

(ii) En su segundo apartado, la memoria describe el contenido del proyecto y examina su adecuación al ordenamiento europeo y a la Ley 6/2020, que constituye su fundamento legal, así como al orden constitucional de distribución de competencias. Además, se señala que, para la definición de los requisitos técnicos y operacionales del sistema de identificación remota, se han tenido en cuenta diferentes referencias que se citan, entre ellas el Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica; la Guía para la aplicación de los niveles de seguridad previstos en el Reglamento eIDAS, elaborada por la Red de Cooperación establecida por la Decisión de Ejecución (UE) 2015/296; o el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140 para la certificación de estos productos o sistemas. Se destacan iniciativas similares aprobadas recientemente en Alemania y en Italia, así como las desarrolladas en nuestro país en el ámbito del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o SEPBLAC ("Autorización de procedimientos de identificación no presencial mediante videoconferencia", con efectos desde el 1 de marzo de 2016, y "Autorización de procedimientos de vídeo-identificación", con efectos desde el 1 de junio de 2017).

(iii) En el siguiente apartado de la memoria se describe la tramitación del proyecto. Se recogen los motivos que han llevado a acoger o a rechazar las principales observaciones formuladas por las entidades que han participado en el procedimiento. En cuanto a la entrada en vigor de la orden el día siguiente al de su publicación, la memoria la justifica en la concurrencia de una "necesidad sobrevenida en tiempo de pandemia" y puesta de manifiesto por el propio sector de prestadores de servicios de confianza. Como excepción, la exigencia de la forma concreta en la que el prestador tiene que demostrar el cumplimiento de los requisitos de seguridad, de acuerdo con el artículo 6.1 d) de la orden proyectada, no entrará en vigor hasta el 1 de julio de 2022, por considerarse necesario ofrecer un período transitorio para que los prestadores de servicios de confianza puedan adaptar sus productos de video-identificación a los requisitos de seguridad establecidos por el Centro Criptológico Nacional.

(iv) En el apartado dedicado al análisis de impactos, la memoria examina el impacto económico de la norma proyectada. Afirma que las medidas que la orden contempla tendrán un impacto neutral sobre los precios de los servicios, en tanto que "el incremento de los costes para los prestadores de servicios de confianza que quieran implantar un método de identificación remota por vídeo se verá ampliamente compensado por el hecho haberse limitado la desventaja competitiva respecto a sus homólogos establecidos en otros Estados miembros". Las medidas tendrán un efecto positivo sobre la productividad, puesto que se permitirá la realización de trámites de forma más ágil y rápida, con ahorro de tiempo, costes y desplazamientos. La orden proyectada contribuirá a impulsar la innovación, la Administración digital y el teletrabajo, y tendrá un efecto positivo sobre el empleo al servicio de las empresas prestadoras de servicios de confianza y de los fabricantes de soluciones de vídeo-identificación. Además, la orden proyectada tendrá un efecto positivo en la competencia, puesto que permite eliminar la desventaja competitiva que para los prestadores españoles supone la ausencia de regulación de los requisitos de seguridad para la identificación remota, con respecto a los prestadores de otros Estados miembros en los que este tipo de identificación ya se encuentra permitida y regulada.

La memoria apunta que la orden proyectada traerá consigo un ahorro derivado de la reducción de cargas administrativas para autónomos y pymes, "que puede cuantificarse en aproximadamente 230 millones de euros anuales". Desde la perspectiva de los prestadores de servicios de confianza cualificados, a los que afecta la orden proyectada, el cumplimiento de los requisitos previstos en ella supondrá la incursión en los costes necesarios para dotarse de herramientas de vídeo-identificación debidamente certificadas, para modificar sus políticas y procedimientos, y para realizar una serie de desarrollos informáticos para adaptar sus sistemas y aplicaciones. A este respecto, la memoria calcula un coste medio estimado de 35.000 a 50.000 euros por prestador.

Por otro lado, la memoria evalúa el proyecto desde la perspectiva de los riesgos en materia de protección de datos personales, de acuerdo con lo establecido en el artículo 35 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento general de protección de datos o RGPD). La memoria explica que la identificación a distancia se lleva a cabo a través de sistemas de reconocimiento que parten siempre "de la captura de las características biométricas del individuo (p. ej. imagen facial, voz, etc.). Estos datos se procesan por un motor biométrico (software) para, a partir de ellos, producir un vector biométrico, es decir, una referencia digital de un conjunto de características. Teniendo un vector no se puede extraer información del individuo al que pertenece, ni identificarlo, sino que únicamente podría ser interpretado por el motor biométrico que lo creó". Tal y como prevé la orden, estos resultados deberán ser en todo caso valorados, junto con el resto de pruebas (vídeo, capturas del documento de identidad, etc.) de forma específica e individualizada por una persona con adecuada formación para realizar esta tarea, antes de tomar la decisión final de dar por identificada a una persona. La memoria destaca que, de acuerdo con la orden, los productos de reconocimiento biométrico se basan en tecnologías ya maduras y utilizadas en otros sectores que, además, deben contar con la certificación del Centro Criptológico Nacional. En cuanto a la recepción de un código único en el teléfono móvil, se trata de un elemento de seguridad adicional a través de un canal que queda bajo el control exclusivo del usuario del servicio.

Subraya la memoria que, en el proceso de identificación que se regula, se recogen y tratan únicamente los datos requeridos para los fines previstos en la orden, siendo el prestador cualificado quien tiene el control sobre ellos. Los datos deben conservarse por el plazo legal previsto en la legislación en materia de servicios de confianza (al menos quince años).

(v) Para finalizar con el análisis del impacto del proyecto, la memoria afirma que la orden en tramitación carece de impacto en una serie de ámbitos (presupuestario, de género, sobre la infancia y la adolescencia, y sobre la familia). Añade que la norma tendrá un impacto positivo desde el punto de vista de la salud pública, en tanto que contribuye a evitar desplazamientos innecesarios que favorezcan posibles contagios; y un impacto igualmente positivo sobre la igualdad de oportunidades, puesto que la supresión de la necesidad de presencia física de las personas para la obtención de los certificados contribuirá a eliminar barreras que puedan suponer una discriminación para ciertos colectivos con discapacidad.

La memoria se cierra con una referencia a la eventual evaluación ex post de la norma en proyecto. Se concluye en este punto que la naturaleza y contenido de la orden proyectada "no permiten considerarla susceptible de evaluación por sus resultados", una vez tenido en cuenta lo dispuesto en el Real Decreto 286/2017, de 24 de marzo, por el que se regulan el Plan Anual Normativo y el Informe Anual de Evaluación Normativa de la Administración General del Estado y se crea la Junta de Planificación y Evaluación Normativa.

b) Documentación relativa a los trámites de audiencia e información pública

Tras la autorización de inicio del expediente en fecha 5 de octubre de 2020 por parte de la Secretaria de Estado de Digitalización e Inteligencia Artificial, el proyecto y su memoria fueron sometidos a trámite de participación pública a través del correspondiente portal web. El trámite se inició el 30 de octubre de 2020 y se evacuó con carácter urgente, por plazo de siete días, tal y como permite el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

c) Informe de la Abogacía del Estado

En fecha 15 de octubre de 2020, la Abogacía del Estado informó favorablemente el proyecto de orden, formulando una observación que fue acogida en el texto final del proyecto.

d) Certificado de comunicación a la Comisión Europea

En fecha 4 de febrero de 2021, la Dirección General de Coordinación del Mercado Interior y otras Políticas Comunitarias - dependiente del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación- certificó que el proyecto de orden había sido comunicado a la Comisión Europea, de acuerdo con lo exigido por la Directiva 1535/2015 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información. La comunicación se llevó a cabo por el procedimiento de urgencia, con fundamento en la situación de pandemia generada por el Covid-19. El motivo de urgencia aducido fue aceptado por la Comisión Europea en fecha 24 de noviembre de 2020, por lo que no es preciso el transcurso de un plazo de status quo, con carácter previo a la aprobación de la norma proyectada y sin que ello prejuzgue el parecer de la Comisión sobre la conformidad del proyecto con el ordenamiento europeo.

e) Informe de los departamentos ministeriales

El proyecto de orden fue informado por las Secretarías Generales Técnicas de los Ministerios de Defensa (21 de diciembre de 2020), Interior (28 de diciembre de 2021), Hacienda (27 de enero de 2021), Justicia (2 de febrero de 2021) y Sanidad (16 de diciembre de 2020). Entre los informes recibidos, únicamente se formulaban observaciones al proyecto en los remitidos por los Ministerios de Defensa e Interior, algunas de cuyas observaciones fueron aceptadas. En lo que hace a aquellas que no lo fueron, cabe subrayar lo siguiente:

- Se ha rechazado la propuesta del Ministerio de Defensa de incluir la exigencia de certificar el sistema de gestión de seguridad de la información de los prestadores de acuerdo con determinados estándares (norma ISO/EC 27001) en el caso de dar un servicio dentro del ámbito privado, porque las auditorías que los prestadores tienen que realizar bienalmente conforme al artículo 20.1 del Reglamento eIDAS ya se basan, en último término, en esos mismos estándares. En cuanto a la propuesta de incluir que los prestadores públicos se certifiquen de acuerdo con el Esquema Nacional de Seguridad, se señala que es una obligación establecida en la Ley 39/2015, de 1 de octubre y, por tanto, no se considera necesario reiterarla en esta orden.

- El Ministerio del Interior señalaba que "la identificación no presencial mediante videoconferencia para la obtención de un certificado electrónico cualificado, tal y como está prevista en el proyecto examinado, no está dotada de seguridad jurídica suficiente por cuanto queda supeditada a la pericia del profesional encargado de la verificación, quien no tendría medios suficientes para garantizar que no se está usurpando la documentación exhibida o haciendo un uso fraudulento de la misma". El departamento proponente, en cambio, consideró que los requisitos de seguridad sí resultan suficientes, y procedió a incluir en el preámbulo una descripción sintética del proceso de verificación de la identidad en el que se subrayan los requisitos de seguridad que han de cumplirse.

Por otro lado, el Ministerio del Interior se refería a la posibilidad de llevar a cabo la identificación remota y fehaciente de los ciudadanos a través del procedimiento objeto del proyecto "DNI en el móvil", impulsado por el citado departamento ministerial. El departamento proponente destaca que el contenido de la orden proyectada "no impide el uso de otras tecnologías para la identificación remota de los solicitantes de un certificado cualificado. Para aclarar la compatibilidad con otras soluciones se incluye una aclaración al respecto en el preámbulo".

f) Informes de la Agencia Española de Protección de Datos (AEPD)

La AEPD emitió dos informes sobre el proyecto de orden de fechas 18 de diciembre de 2020 y 15 de marzo de 2021. El primero de ellos era un "informe desfavorable, pendiente de la subsanación de las observaciones" que en él se formulaban. Se señalaba la necesidad de realizar una evaluación del impacto del proyecto sobre el derecho fundamental a la protección de datos personales y se formulaban varias observaciones sobre el texto de la orden proyectada. Entre ellas, cabe subrayar las referidas al necesario consentimiento del interesado para el tratamiento de sus datos biométricos (como datos de categoría especial) y a la necesidad de que, para que pudiera considerarse que realmente existe un consentimiento libre, se ofrecieran al solicitante, para su identificación a distancia, soluciones alternativas a la comparación biométrica.

Como destaca la memoria, las observaciones de la AEPD fueron aceptadas prácticamente en su totalidad, "al afectar directamente a cuestiones relacionadas con las materias propias de la Agencia", lo que dio lugar a la emisión de un segundo informe de la Agencia, esta vez favorable. La memoria también destaca que, a petición de la AEPD, se incluyó en el artículo 10.8 del proyecto la expresión "en su caso", referida a la utilización de la comparación biométrica por parte del operador como elemento para tomar la decisión relativa a la identificación de la persona, dejando de este modo la puerta abierta a futuras herramientas o productos que no estuvieran basadas en la biometría facial. No obstante, la memoria subraya que "debe tenerse en consideración que la presente orden obliga expresamente a la utilización de productos basados en biometría, conforme a los requisitos del anexo F11 de la guía CCN-STIC-140 de repetida referencia. Por lo tanto, podría ser conveniente la supresión de la citada matización en aras de una mayor claridad, dado que el operador deberá utilizar dicha comparación biométrica en todos los casos".

g) Informe de la Secretaría General Técnica del Ministerio de Asuntos Económicos y Transformación Digital

El 21 de diciembre de 2020, el proyecto de orden fue informado por la Secretaría General Técnica del departamento proponente. Las observaciones formuladas tuvieron reflejo en la versión final del proyecto.

h) Aprobación previa

El 19 de febrero de 2021, el Secretario de Estado de Función Pública otorgó, por delegación del Ministro, la aprobación previa exigida por el artículo 26.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno. A dicha aprobación previa acompañaba un informe de la Secretaría General Técnica del Ministerio de Política Territorial y Función Pública, en el que se formulaban varias observaciones sobre el proyecto y su memoria, que fueron tenidas en cuenta en su mayor parte.

i) Informe de la Dirección General de Desarrollo Autonómico y Local del Ministerio de Política Territorial y Función Pública

El 6 de febrero de 2021, la mencionada Dirección General emitió informe sobre el proyecto de orden, en el que consideraba que el texto resulta conforme con el sistema constitucional de distribución de competencias. El informe destacaba que la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, aprobada con base en los mismos títulos competenciales y fundamento legal del proyecto de orden, "no ha sido objeto de controversias competenciales".

Tercero.- En este estado de tramitación, el expediente fue remitido al Consejo de Estado para la emisión de dictamen con carácter urgente, "al objeto de habilitar, a la mayor brevedad posible, el uso de medios alternativos que no exijan la presencia física de los ciudadanos para la obtención de certificados cualificados, en el contexto de la pandemia generada por el Covid-19".

Una vez en este Consejo el expediente, el 6 de abril de 2021 se recibió oficio del Secretario General Técnico del departamento consultante por el que se remitían los escritos de alegaciones que habían sido presentados por las distintas entidades participantes en el trámite de audiencia e información pública. Se incluía también una valoración sintética de las observaciones recibidas. Esta documentación fue incorporada al expediente.

Constan las observaciones remitidas por Trust Conformity Assessment Body (TCAB), European Agency of Digital Trust (EADTRUST), Firmaprofesional), Camerfirma, ENTRUST, SIGNATURIT, Veridas, BRANDOCS, AOC International, DigitalES, la Asociación Multisectorial de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica (AMETIC), la Asociación Española de Banca y la Asociación de prestadores de servicios de confianza (APCSCE). También participaron en este trámite la Agencia Estatal de la Administración Tributaria, la Subsecretaría del Ministerio de Hacienda, la Dirección General de Salud Digital y Sistemas de información para el Sistema Nacional de Salud del Ministerio de Sanidad y la Gerencia Informática de la Seguridad Social.

Muchas de las alegaciones presentadas fueron aceptadas. Entre aquellas que no lo fueron, destacan las que consideraban innecesarios o excesivos algunos requisitos exigidos por la orden proyectada, como la precisión del número de horas de formación que deben recibir los operadores encargados de la verificación de la identidad; la necesidad de conservar mediante servicios cualificados toda la información referida al proceso de registro; o la necesidad de certificar los productos de vídeo- identificación de acuerdo con lo establecido en el artículo 6.1 d) (por entender que bastaría la verificación del cumplimiento de los correspondientes requisitos de seguridad por parte de los organismos de evaluación de conformidad).

A la vista de tales antecedentes, se formulan las siguientes consideraciones:

I. Los antecedentes normativos de la disposición proyectada arrancan del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. Este reglamento europeo (conocido como "Reglamento eIDAS) establece el régimen jurídico de los llamados servicios electrónicos de confianza (firma electrónica, sello electrónico, sello de tiempo electrónico, servicio de entrega electrónica certificada y certificado de autenticación de un sitio web). Junto a unas previsiones generales, aplicables a todos los servicios de esta naturaleza, se establecen una serie de requisitos exigibles a la prestación de los denominados "servicios cualificados", que tienen esta consideración en virtud del mayor nivel de seguridad que ofrecen. Los prestadores de estos servicios expiden certificados electrónicos cualificados, debiendo para ello llevar a cabo previamente una verificación de la identidad del solicitante. Así lo establece el artículo 24.1 del Reglamento eIDAS, cuando dispone que "al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado".

Continúa señalando este mismo precepto que esa verificación se llevará a cabo por el prestador de servicios de confianza bien "directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad "sustancial" o "alto", o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad".

El apartado d) del precepto que acaba de citarse se refiere a métodos de identificación remota que aporten una seguridad equivalente a la presencia física en términos de fiabilidad y a ellos se refiere el objeto de la orden proyectada.

Como expresan el preámbulo del proyecto y la memoria del análisis de impacto normativo, la crisis sanitaria desencadenada por la pandemia originada por el Covid-19 impulsó, ante las limitaciones de movilidad requeridas, la adopción temporal de procedimientos para la identificación remota de solicitantes de certificados por parte de los prestadores de servicios de confianza cualificados (disposición adicional undécima del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al Covid-19). Finalizado el estado de alarma declarado mediante el Real Decreto 463/2020, de 14 de marzo, el Real Decreto-ley 28/2020, de 22 de septiembre, modificó la hoy derogada Ley 59/2003, de 19 de diciembre, de firma electrónica, e incluyó en ella una habilitación para regular mediante orden ministerial los requisitos exigibles para la identificación remota de los solicitantes de certificados cualificados. Esa habilitación ha sido sustituida por la que actualmente se contiene en el artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

El artículo 7 de la citada ley comienza señalando, en su apartado primero, que "la identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho. Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial". A renglón seguido, el apartado segundo del propio artículo 7 dispone lo siguiente:

"2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza".

El artículo 7.2 de la Ley 6/2020 que acaba de reproducirse constituye el fundamento legal de la orden proyectada. Aunque el carácter urgente de este desarrollo normativo viene motivado por razón del actual contexto sanitario, su aprobación resulta asimismo necesaria al objeto de dotar a los prestadores de servicios de confianza cualificados establecidos en España de un marco jurídico que les permita prestar los correspondientes servicios a distancia, en línea con la posibilidad con la que cuentan ya los prestadores de estos mismos servicios en otros Estados miembros de la Unión Europea.

II. En lo que respecta a la tramitación seguida, se ha dado cumplimiento a los requisitos procedimentales exigidos por el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno. El preámbulo explica que se ha prescindido del trámite de consulta previa, de acuerdo con lo establecido en el artículo 26.2 de la Ley del Gobierno, por tratarse de una norma que regula aspectos parciales de una materia, sin perjuicio de lo cual señala que "se sometió el texto a consulta previa a los sujetos directamente afectados, en concreto, los prestadores cualificados de servicios electrónicos de confianza y a los organismos de evaluación de la conformidad acreditados, con objeto de garantizar el acierto y la legalidad de la norma" y que en este trámite se recibieron distintas observaciones. Habría sido conveniente que esta documentación se hubiera incluido en el expediente sometido a consulta.

Sí se ha incorporado al expediente, en cambio, el resultado del trámite de audiencia e información pública, celebrado por un período reducido de siete días por razones de urgencia que han quedado debidamente justificadas en la memoria, de acuerdo con lo exigido por el artículo 26.6 de la Ley del Gobierno. Se ha recabado informe de los ministerios afectados (Defensa, Interior, Hacienda, Justicia y Sanidad) y ha informado la Secretaría General Técnica del ministerio proponente, así como la aprobación previa requerida por el artículo 26.5 de la Ley del Gobierno.

Consta asimismo que el proyecto ha sido notificado a la Comisión Europea, de acuerdo con lo exigido por la Directiva 1535/2015 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información.

Por último, el proyecto ha sido informado por la Agencia de Protección de Datos, de acuerdo con lo establecido en el artículo 5 b) del Estatuto de la Agencia, aprobado por el Real Decreto 428/1993, de 26 de marzo.

III. En lo que hace al contenido del proyecto sometido a consulta, la orden proyectada regula las condiciones y requisitos técnicos de verificación de la identidad a distancia de los solicitantes de un certificado cualificado por parte de los prestadores de los correspondientes servicios de confianza.

La lectura del proyecto conduce a este Consejo a formular algunas observaciones en relación con dos tipos de cuestiones: la comprobación por el órgano de supervisión del cumplimiento de los requisitos exigidos por la orden (A) y el tratamiento de los datos biométricos (B).

A) La orden impone una certificación de los productos de vídeo-identificación que se empleen por los prestadores de los servicios de acuerdo con los estándares fijados por el Centro Criptológico Nacional (anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140) y que deberán ser certificados de acuerdo con lo establecido en el artículo 6 d) del proyecto (es decir, siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información y por un organismo acreditado según la norma ISO/IEC 17065). Durante un período transitorio, que se extiende hasta el 1 de julio de 2022, no se exigirá esa certificación, sino la comprobación del cumplimiento de los requisitos de seguridad de esos productos por parte de un organismo de evaluación de la conformidad.

Además, el cumplimiento de los requisitos fijados en la orden por parte del prestador para la identificación a distancia deberá ser comprobado por un organismo de evaluación de la conformidad, que plasmará el resultado de ese examen en un informe (artículo 5.1 del proyecto). Este último habrá de ser incorporado a la solicitud que el prestador interesado deberá presentar ante el órgano de supervisión, que es la Secretaría de Estado de Digitalización e Inteligencia Artificial. A este respecto, los apartados segundo y tercero del artículo 5 del proyecto disponen lo siguiente:

"2. El prestador cualificado de servicios de confianza remitirá solicitud para la puesta en operación de procedimientos de identificación remota por vídeo a la Secretaría de Estado de Digitalización e Inteligencia Artificial, dependiente del Ministerio de Asuntos Económicos y Transformación Digital, en cuanto órgano supervisor. Dicha solicitud incluirá una descripción detallada del sistema y su operación, la declaración de prácticas actualizada, así como el informe de evaluación de la conformidad, con carácter previo a su ofrecimiento al público.

3. El órgano supervisor podrá requerir al prestador para que aporte, en el plazo de diez días hábiles, documentación e información adicionales sobre cualquier aspecto de la solución de identificación remota por vídeo, con carácter previo o posterior a su implantación. El plazo máximo para resolver y notificar será de seis meses".

De la lectura de los preceptos que acaban de reproducirse no se infiere con claridad el momento a partir del cual el prestador puede ofrecer al público los servicios mediante identificación remota. En este sentido, se formulan las siguientes observaciones:

1) El silencio del supervisor, una vez transcurridos los seis meses a los que alude el artículo 5.3 del proyecto, tendría carácter desestimatorio, tal y como se desprende del tenor del artículo 16.2 de la Ley 6/2020 ("2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento [eIDAS] será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud"). Debería, pues, aclararse, que el prestador necesita de una expresa resolución estimatoria de su solicitud.

2) Por otro lado, debería precisarse en el artículo 5 del proyecto si el prestador puede ofrecer el servicio mediante identificación remota desde el momento de la notificación de la resolución expresa de la Secretaría de Estado de Digitalización e Inteligencia Artificial por la que se estima su solicitud; o si, por el contrario, sería necesario para ello algún otro trámite adicional (como pudiera ser la inclusión de la información relativa al cumplimiento de los requisitos contemplados en el proyecto en la lista de confianza a la que se refiere el artículo 16 de la Ley 6/2020).

3) Por último, se sugiere que se aclare que, para los prestadores que inicien su actividad en el futuro, los trámites a los que se refiere el artículo 5 del proyecto se podrán integrar en el procedimiento por el que se accede a dicha actividad de prestación de servicios de confianza cualificados de acuerdo con el artículo 21 del Reglamento eIDAS. Ese procedimiento consiste en una comprobación por el mismo organismo supervisor, a la vista del informe emitido por un organismo de evaluación de la conformidad, del cumplimiento de los requisitos que el ordenamiento exige al solicitante (tras lo cual quedará incluido, en su caso, en la lista de confianza de prestadores y servicios cualificados y podrá comenzar a prestar sus servicios).

B) El objeto de la disposición proyectada obliga a tener especialmente en cuenta la perspectiva de la seguridad y la fiabilidad en la identificación a distancia del solicitante, sin duda fundamental en la prestación de servicios que coadyuvan a la creación de lo que el preámbulo califica gráficamente como "alter ego digital" de la persona.

Sin embargo, en la regulación en proyecto reviste también notable importancia la adecuación de los procedimientos y soluciones empleadas para la verificación de la identidad a la normativa sobre protección de datos de carácter personal. En este sentido, cabe recordar que el artículo 24.2.j) del Reglamento eIDAS impone expresamente a los prestadores cualificados de servicios de confianza la obligación de garantizar un tratamiento lícito de los datos de carácter personal. Por esta razón, el artículo 3 del proyecto dispone que el tratamiento de datos de carácter personal de las personas físicas se realizará con estricta sujeción a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD). Podría añadirse en este mismo artículo 3 la cita de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Desde la perspectiva de la protección de datos de carácter personal, se observa en el texto final del proyecto una mejora significativa en la regulación de los aspectos que afectan a esta materia con respecto a la versión inicial de la norma proyectada. Dicha mejora procede, fundamentalmente, de la aceptación de las observaciones que la AEPD formuló en el primero de los informes, de carácter desfavorable, que emitió sobre el proyecto. Tras las correspondientes modificaciones del texto, la AEPD emitió un segundo informe en sentido favorable.

Una de las cuestiones que en el expediente se ha planteado en relación con el tratamiento de los datos de carácter personal es la referida al tratamiento de los datos biométricos del solicitante del correspondiente servicio, en tanto que la orden se refiere al empleo de sistemas de vídeo- identificación basados en biometría. Los datos biométricos son "datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos" (artículo 4.14 del RGDP). Con respecto al tratamiento de este tipo de datos, ha de tenerse en cuenta que los "datos biométricos dirigidos a identificar de manera unívoca a una persona física" son datos personales de "categoría especial" de acuerdo con el artículo 9.1 del RGPD. No desconoce el Consejo de Estado la complejidad interpretativa que encierra la referencia a la "identificación unívoca" y la dificultad de determinar, en consecuencia, en qué casos los datos biométricos han de considerarse de categoría especial. Ello podrá depender, entre otros extremos, de los datos concretos que se recaben y del tipo de tratamiento técnico que se aplique (identificación o verificación/autenticación). En este punto cabe citar las consideraciones del informe 36/2020, de la AEPD, relativo al uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación on line, en el que se afirmaba que, "con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno). No obstante, esta Agencia considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados".

Las observaciones que a continuación se hacen parten de la consideración -de acuerdo con ese principio de interpretación favorable a la protección de los derechos de los afectados- de que los datos biométricos que se recaban en el proceso regulado por el proyecto son datos de categoría especial. De acuerdo con el artículo 9.1 RGPD, el tratamiento de este tipo de datos queda prohibido, salvo que concurra alguna de las causas justificativas que se enuncian en el artículo 9.2 del RGPD. Dos de ellas tendrían potencialmente la virtualidad de servir de base jurídica al tratamiento de los datos biométricos a los que el proyecto se refiere:

- En primer lugar, cabría plantear si la justificación en el tratamiento de este tipo de datos podría ampararse en la circunstancia contemplada en el apartado g) del artículo 9.2 RGDP, que se refiere a que el tratamiento de los datos "sea necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado". Sin embargo, esta circunstancia precisaría de una norma con rango de ley -que no existe en nuestro ordenamiento- en la que se identificase ese "interés público esencial" y se justificase el tratamiento de los datos a la luz del principio de proporcionalidad. A este respecto, ha de tenerse en cuenta lo establecido por el artículo 9.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. De acuerdo con este precepto "los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad".

- Desechado el apartado g) del artículo 9.2 del RGPD como base jurídica para el tratamiento de los datos biométricos, únicamente cabe acudir como circunstancia que permite ese tratamiento al "consentimiento explícito" del interesado, al que se refiere el artículo 9.2.a) del RGPD. De acuerdo con el artículo 4.11 del RGPD, ese consentimiento ha de ser libre; y según el considerando 42 del RGPD, "el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno".

En su primer informe, la AEPD cuestionaba que el proyecto garantizase un consentimiento libre del solicitante. Señalaba en este sentido que no cabe exigir que, para la identificación remota del solicitante, el prestador del servicio acuda necesariamente y en todo caso al tratamiento de datos biométricos, sino que debe ofrecerse al usuario del servicio una alternativa de identificación a distancia que no haga necesario este tratamiento. Para atender las observaciones formuladas en este punto por la AEPD, el departamento consultante incluyó en el artículo 10.2 del proyecto el deber de "informar al solicitante de otras alternativas existentes para la identificación que no requieran el tratamiento y la conservación de su imagen y sus datos biométricos"; y, en el artículo 10.8, incluyó una referencia a la comparación biométrica como un elemento que "en su caso" -pero no "en todo caso"- se tomará en consideración para tener por identificada a la persona del solicitante. Con esta redacción, la AEPD informó favorablemente el proyecto.

Sin embargo, en la versión de la memoria del análisis de impacto normativo remitida al Consejo de Estado se significa que, aunque la expresión "en su caso" se introdujo en el artículo 10.8 para atender lo observado por la AEPD "la presente orden obliga expresamente a la utilización de productos basados en biometría, conforme a los requisitos del anexo F11 de la guía CCN-STIC-140 de repetida referencia. Por lo tanto, podría ser conveniente la supresión de la citada matización en aras de una mayor claridad, dado que el operador deberá utilizar dicha comparación biométrica en todos los casos".

La lectura conjunta del texto del proyecto y de las consideraciones de la memoria que acaban de reproducirse, revela que la norma proyectada puede generar dudas interpretativas, pues no resulta claro si los solicitantes de los servicios de confianza concernidos podrán contar o no con una alternativa al tratamiento de datos biométricos para ser identificados en remoto o si la comparación biométrica habrá de hacerse en todo caso. Se trata de una cuestión que resulta de todo punto necesario aclarar, en tanto que -como más arriba se ha razonado- la existencia de tales alternativas es la base del consentimiento libre del interesado, que justifica, a su vez, la licitud del tratamiento de los datos.

Las dificultades de interpretación apuntadas tienen su origen en la circunstancia de que el título del proyecto de orden alude a la "regulación de los métodos de identificación no presencial" para la expedición de certificados electrónicos cualificados. Sin embargo, esta rúbrica no se corresponde exactamente con su contenido, pues el proyecto no regula todas las posibilidades de identificación a distancia de los solicitantes de esos certificados. Se limita a regular los requisitos y condiciones de la "identificación remota por vídeo" (como la denomina el artículo 4). Esta identificación, según el proyecto, ha de basarse en la comparación biométrica. Sin embargo, el interesado podrá y deberá tener alternativas a la identificación remota por vídeo y al tratamiento de datos biométricos que esta implica y de las que el solicitante debe ser informado (tal y como exige el artículo 10.2 del proyecto). Entre esas alternativas, la memoria cita las que ofrece el propio Reglamento eIDAS en su artículo 24.1 (además de la identificación presencial, la identificación a distancia con medios de identificación electrónica que cumplan los requisitos de seguridad necesarios, como el DNI electrónico; o la identificación mediante otro certificado cualificado ya expedido). Dado que la AEPD ha emitido finalmente un parecer favorable sobre el proyecto, el Consejo de Estado no cuestiona la suficiencia de estas alternativas a los efectos de fundar un consentimiento libre de los interesados.

Con la finalidad de que lo anteriormente expuesto quede reflejado con claridad en la orden proyectada, se formulan las siguientes observaciones:

- Debe establecerse expresamente en el proyecto que lo que se regula es el sistema de identificación remota por vídeo, y que ello no excluye otros sistemas de identificación a distancia amparados por el Reglamento eIDAS. Esta precisión podría incluirse en el artículo 1, referido al objeto de la norma, o en un artículo independiente. También resultaría conveniente una referencia a esta cuestión en el preámbulo.

- En el artículo 10.2 del proyecto, que se refiere a la obligación de informar al solicitante de las posibilidades alternativas de identificación a distancia que no impliquen el tratamiento de datos biométricos, podría precisarse que entre ellas se encuentran, en todo caso, las contempladas en el artículo 24.1 del Reglamento eIDAS.

- Dado que el artículo 10.8 se refiere específicamente al sistema de identificación remota por vídeo -y no a otros sistemas de identificación no presencial- considera el Consejo de Estado, en línea con lo que sugiere la memoria, que la referencia a la comparación biométrica no debe matizarse con la expresión "en su caso"; dicha comparación se hará en todo caso si el sistema de identificación no presencial es el regulado en la orden, aunque no en cambio en otros procedimientos alternativos.

IV. Por último, desde el punto de vista meramente formal, en la disposición transitoria única debería decirse "un organismo de evaluación de la conformidad", con carácter genérico, en lugar de "el organismo de evaluación de la conformidad". Asimismo, debe corregirse una errata mecanográfica en el artículo 12.6 del proyecto ("ejecución").

En mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que, una vez consideradas las observaciones formuladas en el cuerpo del presente dictamen, puede V. E. aprobar el proyecto de orden sometido a consulta."

V. E., no obstante, resolverá lo que estime más acertado.

Madrid, 22 de abril de 2021

LA SECRETARIA GENERAL,

LA PRESIDENTA,

EXCMA. SRA. VICEPRESIDENTA SEGUNDA DEL GOBIERNO Y MINISTRA DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL.

subir

Agencia Estatal Boletín Oficial del Estado

Consejo de Estado: Dictámenes

Número de expediente: 244/2021 (ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL)

TEXTO DEL DICTAMEN