Agencia Estatal Boletín Oficial del Estado
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 11 bis, apartado 3,
Considerando lo siguiente:
|
(1) |
El Reglamento (UE) n.o 910/2014 exige que las carteras europeas de identidad digital (en lo sucesivo, «carteras») y los medios de identificación electrónica notificados se faciliten como opción para la autenticación a fin de obtener acceso a los servicios públicos transfronterizos en línea prestados por los Estados miembros. En estos casos de autenticación transfronteriza, la parte usuaria puede acceder ya algunas veces a archivos que contienen información relativa al usuario de la cartera o al usuario de medios de identificación electrónica notificados, a través del propio registro de la parte usuaria o de un registro externo, y a menudo en forma de cuenta de usuario. En estos casos, la correspondencia de determinada información relativa al usuario, obtenida de las carteras o de los medios de identificación electrónica notificados, puede ser establecida por dicha parte usuaria o en su nombre. Por ejemplo, esto podría lograrse utilizando una solución centralizada gestionada por un organismo del sector público, cotejando con la información que ya obre en poder de esa parte usuaria o de un registro en el que esta confíe, que, a título indicativo, puede ser un censo de población o una base de datos con información sobre cuentas de usuario. |
|
(2) |
La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. Con el fin de garantizar el máximo nivel de armonización entre los Estados miembros para el desarrollo y la certificación de las carteras, las especificaciones técnicas establecidas en el presente Reglamento se basan en el trabajo realizado con arreglo a la Recomendación (UE) 2021/946 de la Comisión (2), y en particular la arquitectura y el marco de referencia que forman parte de él. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (3), la Comisión debe revisar y, en caso necesario, actualizar el presente Reglamento, para mantenerlo en consonancia con la evolución mundial, la arquitectura y el marco de referencia, y seguir las mejores prácticas en el mercado interior. |
|
(3) |
Para garantizar que el proceso de correspondencia de la identidad funcione de manera fiable en todos los Estados miembros, los Estados miembros que actúen como partes usuarias deben realizar la correspondencia de la identidad inicial la primera vez que una persona física solicite que se le conceda acceso a un servicio gestionado por la parte usuaria, basándose en el conjunto mínimo de datos establecido en el Reglamento de Ejecución (UE) 2015/1501 de la Comisión (4) o en el conjunto de datos de identificación de la persona establecido en el Reglamento de Ejecución (UE) 2024/2977 de la Comisión (5). Si bien el presente Reglamento se centra en los Estados miembros que actúan como partes usuarias, el Reglamento (UE) n.o 910/2014 deja a los Estados miembros la facultad de decidir si el sistema de correspondencia de la identidad se pone también a disposición de las partes usuarias privadas. Cuando los Estados miembros prevean la correspondencia de la identidad para las partes usuarias que no sean organismos del sector público, conviene que apliquen en la medida de lo posible los mecanismos y procedimientos establecidos en el presente Reglamento. |
|
(4) |
A efectos de la correspondencia transfronteriza de la identidad cuando se utilicen las carteras, la información utilizada para una correspondencia inequívoca de la identidad deben ser los identificadores de los datos obligatorios del conjunto de datos de identificación de la persona establecido en la sección 1 del anexo del Reglamento de Ejecución (UE) 2024/2977, junto con los datos opcionales que sean necesarios para garantizar que el conjunto de datos de identificación de la persona sea único. |
|
(5) |
A efectos de la correspondencia transfronteriza de la identidad cuando se utilicen medios de identificación electrónica notificados, la información utilizada para una correspondencia inequívoca de la identidad deben ser los atributos obligatorios del conjunto mínimo de datos para una persona física establecidos en la sección 1 del anexo del Reglamento de Ejecución (UE) 2015/1501. La referencia a los atributos obligatorios del conjunto mínimo de datos para una persona física debe entenderse en el contexto del Reglamento de Ejecución (UE) 2015/1501, que describe un atributo como un componente del conjunto mínimo de datos de identificación de la persona, en contraposición a la definición de atributo establecida en el artículo 3, punto 43, del Reglamento (UE) n.o 910/2014, modificado por el Reglamento (UE) 2024/1183. |
|
(6) |
Debido a que la parte usuaria depende del uso de información preexistente para garantizar una correspondencia inequívoca de la identidad, el proceso de correspondencia de la identidad puede no ser siempre satisfactorio. Con el fin de ofrecer a las partes usuarias un grado de flexibilidad adecuado, los Estados miembros podrán establecer procesos complementarios que proporcionen un nivel equivalente de confianza en el resultado del proceso de correspondencia de la identidad. |
|
(7) |
Cuando el proceso de correspondencia de la identidad se considere satisfactorio con arreglo a las disposiciones del presente Reglamento, la parte usuaria o la parte que actúe en su nombre, o un registro en el que confíen las partes usuarias o el sistema centralizado deben garantizar que el usuario esté informado de que el registro se ha realizado correctamente, en particular mostrando el nombre o el seudónimo del usuario y, cuando proceda, entre otras cosas, de las opciones disponibles para almacenar el resultado del proceso de correspondencia de la identidad. Estas opciones pueden consistir en el almacenamiento de una asociación en un registro gestionado por la parte usuaria o en el que confíe la parte usuaria, en la expedición de una declaración electrónica de atributos específica que contenga una asociación que pueda reutilizarse en el futuro o en el uso de opciones alternativas proporcionadas por la parte usuaria o la parte que actúe en su nombre. Cuando proceda, el usuario debe tener la posibilidad de elegir entre opciones y debe ser quien controle el tiempo de conservación para garantizar que los usuarios puedan reutilizar en el futuro los procesos de correspondencia de la identidad completados. |
|
(8) |
A fin de mejorar la transparencia y el control del usuario, cuando no se haya podido establecer satisfactoriamente la correspondencia para un usuario, se le deben comunicar las razones claras de por qué la correspondencia ha resultado infructuosa. Además, se le debe informar de los próximos pasos que puedan darse. En concreto, se le debe indicar la información utilizada en el proceso de correspondencia de la identidad y cualquier discrepancia detectada, junto con explicaciones e instrucciones claras para los usuarios sobre posibles soluciones y procesos complementarios. |
|
(9) |
A fin de habilitar mecanismos de recurso adecuados siempre que se realice una correspondencia de la identidad, las partes usuarias o las partes que actúen en su nombre o los registros en los que confíen las partes usuarias deben mantener archivos adecuados relacionados con el proceso de correspondencia de la identidad, la información utilizada para llevarla a cabo y cualquier otra documentación justificativa proporcionada por la persona física y el resultado del proceso de correspondencia de la identidad. Estos archivos deben conservarse durante un mínimo de seis meses y un máximo de doce para permitir el registro y la tramitación de las reclamaciones de los usuarios. El tiempo durante el cual deberán conservarse podría ampliarse si así lo exige el Derecho de la Unión o nacional. |
|
(10) |
Para evitar que los usuarios de una cartera tengan que realizar el proceso de correspondencia de la identidad repetidamente, los Estados miembros podrán exigir que los sistemas de correspondencia de la identidad estén preparados para expedir una declaración electrónica de atributos con un vínculo entre el usuario de una cartera y un registro en el que dicho usuario esté inscrito como usuario conocido. Serían opciones alternativas que los Estados miembros almacenen una asociación como referencia a un registro al que tenga acceso la parte usuaria u otras medidas de asistencia. |
|
(11) |
Para garantizar que las carteras que deben proporcionarse de conformidad con los requisitos del artículo 5 bis, apartado 1, del Reglamento (UE) n.o 910/2014, y los sistemas de identificación electrónica notificados se beneficien de las ventajas de disponer de sistemas de correspondencia de la identidad que funcionen adecuadamente, es necesario fijar un plazo más largo para la aplicación de las disposiciones correspondientes del presente Reglamento. Por lo que respecta a las carteras, cada Estado miembro debe proporcionar al menos una cartera en los veinticuatro meses siguientes a la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, del Reglamento (UE) n.o 910/2014. Por consiguiente, la aplicación de las disposiciones pertinentes del presente Reglamento sobre la correspondencia de la identidad basada en las carteras debe coincidir con el plazo mencionado. Por lo que respecta a los sistemas de identificación electrónica notificados, debe concederse tiempo suficiente para sustituir las funcionalidades que requiere la correspondencia de la identidad. |
|
(12) |
Puesto que el uso de la cartera ha de ser voluntario, los Estados miembros deben proporcionar métodos alternativos para que los usuarios obtengan acceso a los servicios que prestan cuando actúan como partes usuarias. |
|
(13) |
Puede suceder que el registro de un nuevo usuario cuando intenta autenticarse ante un servicio electrónico se realice sin complicaciones y, por lo tanto, le parezca al usuario visual y técnicamente igual que una visita repetida a un servicio electrónico. Por esta razón, a efectos del presente Reglamento, el registro de un nuevo usuario en un servicio electrónico debe considerarse equivalente a un proceso de correspondencia de la identidad satisfactorio. |
|
(14) |
Los Estados miembros deben garantizar que el proceso de correspondencia de la identidad funcione sin complicaciones y que el usuario no se encuentre con múltiples cambios de sesión y pasos repetitivos, aun cuando inicialmente el proceso de correspondencia de la identidad resulte infructuoso y se lleven a cabo procesos complementarios. |
|
(15) |
Los Estados miembros tienen libertad para diseñar sus interfaces de usuario y sus notificaciones de la manera más adaptada a su contexto nacional, teniendo en cuenta la esencia de los requisitos contenidos en el presente Reglamento. |
|
(16) |
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (6) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (7) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento. |
|
(17)
(18) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (8), emitió su dictamen el 31 de enero de 2025.
Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Objeto
El presente Reglamento establece normas para la correspondencia transfronteriza de la identidad de las personas físicas por organismos del sector público o por organismos que actúen en nombre de un organismo del sector público, que deben actualizarse periódicamente para mantenerlas en consonancia con la evolución de la tecnología y las normas y con el trabajo realizado sobre la base de la Recomendación (UE) 2021/946, y en particular la arquitectura y el marco de referencia.
Condiciones generales
1. Cuando un organismo del sector público actúe como parte usuaria en el contexto de un servicio transfronterizo en línea ofrecido por dicho organismo del sector público o en su nombre, los Estados miembros se asegurarán de que se utilice el proceso establecido en el apartado 2 para garantizar la correspondencia inequívoca de la identidad de las personas físicas.
2. La correspondencia inequívoca de la identidad será establecida por la parte usuaria, o en su nombre, o por un registro en el que confíen las partes usuarias, o por un sistema centralizado, solicitando, según proceda, recibiendo y validando la autenticidad de la información indicada en los apartados 3 o 4.
3. Cuando se recurra a una cartera, la información que deberá utilizarse para la correspondencia inequívoca de la identidad serán los datos de identificación de la persona obligatorios establecidos en la sección 1 del anexo del Reglamento de Ejecución (UE) 2024/2977, junto con los datos opcionales que sean necesarios para garantizar que el conjunto de datos presentado es único, lo que comprenderá, cuando proceda, información adicional o procedimientos complementarios.
4. Cuando se recurra a un sistema de identificación electrónica notificado, la información que deberá utilizarse para una correspondencia inequívoca de la identidad serán los atributos obligatorios del conjunto mínimo de datos para una persona física establecido en la sección 1 del anexo del Reglamento de Ejecución (UE) 2015/1501, lo que comprenderá, cuando proceda, cualesquiera información adicional o procedimientos complementarios.
5. Al determinar si existe una correspondencia inequívoca de la identidad, la parte usuaria, o la parte que actúe en su nombre, hará corresponder la información proporcionada por el usuario con aquella que la parte usuaria o una parte que actúe en su nombre o un registro en el que confíen las partes usuarias ya hayan registrado.
6. El resultado del proceso descrito en el apartado 5 no se verá afectado, en la medida de lo posible, por diferencias en la transliteración, espacios en blanco, guiones, concatenación y variaciones ortográficas similares que exijan el Derecho de la Unión o el Derecho nacional del Estado miembro.
7. Cuando la correspondencia para la información a que se refiere el apartado 2 sea exacta y se refiera a una sola persona física, o el resultado del proceso lleve a un nuevo registro del usuario cuya función sea equivalente a un proceso de correspondencia de la identidad satisfactorio, se considerará que el proceso de correspondencia de la identidad ha sido satisfactorio al tener como resultado una correspondencia inequívoca de la identidad. Cuando la correspondencia no sea exacta o remita a más de una persona física, o cuando la parte que realice la correspondencia de la identidad no pueda garantizar que esta es inequívoca, el proceso de correspondencia de la identidad se considerará infructuoso.
8. Los Estados miembros podrán confiar en sistemas centralizados de correspondencia de la identidad, gestionados por un organismo del sector público establecido en ese Estado miembro, para garantizar que se pueda establecer la correspondencia de los medios de identificación electrónica notificados o las carteras de otro Estado miembro con los registros y archivos existentes utilizando procedimientos en línea.
9. Cuando los Estados miembros permitan que las partes usuarias de las carteras que no sean organismos del sector público lleven a cabo la correspondencia de la identidad, los mecanismos y procedimientos establecidos en el presente Reglamento serán aplicables, cuando proceda.
Obligaciones de las partes usuarias en caso de que el proceso de correspondencia de la identidad sea satisfactorio
1. La primera vez que un usuario lleve a cabo el proceso de correspondencia de la identidad y este se considere satisfactorio con arreglo al artículo 2, apartado 7, la parte usuaria o la parte que actúe en su nombre, o un registro en el que confíen las partes usuarias o el sistema centralizado, se asegurarán de que el usuario sea informado de que se le ha concedido el acceso al servicio al que solicitaba acceder.
2. Cuando proceda, también se informará al usuario si:
a) ha sido registrado como nuevo usuario;
b) se ha establecido satisfactoriamente su correspondencia con un único usuario existente de la parte usuaria, o
c) se ha establecido satisfactoriamente su correspondencia con un único usuario existente en un registro en el que confía la parte usuaria o la parte que actúe en su nombre;
d) puede reutilizar en el futuro los procesos de correspondencia de la identidad completados eligiendo una de las siguientes opciones, incluido el tiempo de conservación:
— el almacenamiento de una asociación en un registro gestionado por la parte usuaria o en un registro en el que confíe la parte usuaria que pueda reutilizarse en futuras solicitudes de acceso,
— la expedición de una declaración electrónica de atributos específica que contenga una asociación que pueda reutilizarse en futuras solicitudes de acceso,
— opciones alternativas proporcionadas por la parte usuaria o la parte que actúe en su nombre o por el sistema centralizado que puedan reutilizarse en futuras solicitudes de acceso.
Obligaciones de las partes usuarias en caso de que el proceso de correspondencia de la identidad sea infructuoso
1. Cuando un proceso de correspondencia de la identidad se considere infructuoso con arreglo al artículo 2, apartado 7, la parte usuaria o la parte que actúe en su nombre o el sistema centralizado se asegurarán de que el usuario de un medio de identificación electrónica notificado o de una cartera sea informado si:
a) no se pudo establecer satisfactoriamente la correspondencia inequívoca de los datos facilitados con ningún usuario existente de la parte usuaria ni en un registro en el que confíe esta o la parte que actúe en su nombre;
b) hay disponibles otras opciones para la correspondencia de la identidad del usuario u otros métodos para obtener acceso al servicio.
2. Las opciones u otros métodos a que se refiere el apartado 1, letra (b) podrán ser los siguientes:
a) un medio de identificación electrónica notificado diferente o una cartera diferente;
b) una actualización de la información ya registrada ante la parte usuaria, la parte que actúe en su nombre o un registro en el que confíe la parte usuaria o el sistema centralizado de correspondencia de la identidad;
c) información adicional proporcionada por la parte usuaria o por una parte que actúe en su nombre para el establecimiento de la correspondencia de la identidad o el sistema centralizado.
3. Cuando los métodos complementarios den lugar a una correspondencia o un registro satisfactorios e inequívocos, el resultado se ajustará a las obligaciones establecidas en el artículo 3.
4. Cuando la parte usuaria o el sistema centralizado determinen, inicialmente o tras realizar infructuosamente los procesos complementarios de correspondencia de la identidad, que el usuario no ha sido registrado previamente, la parte usuaria o el sistema centralizado podrán considerar a este usuario un nuevo usuario y, en su caso, registrarlo de conformidad con la legislación o las prácticas administrativas nacionales.
5. Cuando los métodos complementarios no den lugar a una correspondencia satisfactoria e inequívoca, la parte que realice la correspondencia de la identidad podrá evaluar si el usuario no tiene ninguna interacción o interacciones previas con la parte usuaria o con un registro en el que esta confíe y, por lo tanto, deberá ser considerado un nuevo usuario.
6. Cuando se trate de un nuevo usuario, las partes usuarias aplicarán el proceso establecido en el artículo 3. Las partes usuarias podrán registrar nuevos usuarios de conformidad con la legislación o las prácticas administrativas nacionales.
Obligaciones de las partes usuarias una vez concluido el proceso de correspondencia de la identidad
1. Cuando un proceso de correspondencia de la identidad conforme a lo establecido en el artículo 2 concluya, satisfactoria o infructuosamente, la parte usuaria o la parte que actúe en su nombre o el registro en el que confíe la parte usuaria conservarán los archivos relacionados con el proceso de correspondencia de la identidad y su resultado, y en concreto, cuando estén disponibles:
a) los valores facilitados por el usuario y la parte usuaria utilizados para llevar a cabo el proceso de correspondencia de la identidad;
b) la fecha y la hora del proceso de correspondencia de la identidad;
c) cualquier documentación pertinente facilitada como parte de los métodos complementarios a que se refiere el artículo 4, apartados 1 y 2, necesaria para la tramitación de litigios;
d) cuando proceda, cualquier identificador o número de cuenta utilizado por la parte usuaria, o un registro en el que confíen las partes usuarias, o la parte que actúe en su nombre, o el sistema centralizado de correspondencia de la identidad que se refiera a la persona física.
2. Las partes usuarias o las partes que actúen en su nombre tendrán en cuenta los principios de seguridad y privacidad desde el diseño en relación con el archivo de la información mencionada en el apartado 1.
3. Las partes usuarias o las partes que actúen en su nombre conservarán los archivos durante un mínimo de seis meses y un máximo de doce con fines de seguridad. Para otros fines, incluida la posibilidad de registrar y tramitar las reclamaciones de los usuarios, el plazo de conservación podrá prorrogarse si así lo exige el Derecho de la Unión o nacional.
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 24 de diciembre de 2026.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 6 de mayo de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
(3) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Reglamento de Ejecución (UE) 2015/1501 de la Comisión, de 8 de septiembre de 2015, sobre el marco de interoperabilidad de conformidad con el artículo 12, apartado 8, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 235 de 9.9.2015, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).
(5) Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los datos de identificación de la persona y las declaraciones electrónicas de atributos expedidos a carteras europeas de identidad digital (DO L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
(6) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
