Axencia Estatal Boletín Oficial do Estado
Contido non dispoñible en galego
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 24, apartado 1 quater,
Considerando lo siguiente:
|
(1) |
El artículo 24 del Reglamento (UE) n.o 910/2014 exige que los prestadores cualificados de servicios de confianza verifiquen la identidad y, en su caso, los atributos específicos de una persona física o jurídica cuando expidan certificados cualificados o declaraciones electrónicas cualificadas de atributos a dicha persona. |
|
(2) |
A fin de garantizar la igualdad de trato y la capacidad de confiar en el resultado del proceso de verificación, todos los prestadores cualificados de servicios de confianza deben llevar a cabo las verificaciones de manera análoga cuando expidan un certificado cualificado o una declaración electrónica cualificada de atributos. De conformidad con los objetivos del Reglamento (UE) n.o 910/2014, se han seleccionado una serie de normas para cumplir estos requisitos específicos. Estas normas deben reflejar las prácticas establecidas y ser ampliamente aceptadas en los sectores pertinentes. Estas normas deben adaptarse para incluir controles adicionales que garanticen la seguridad y la fiabilidad del servicio de confianza cualificado, y facilitar al mismo tiempo la interoperabilidad transfronteriza y el funcionamiento eficaz del mercado interior. |
|
(3) |
Debe preverse un período transitorio adecuado para que los prestadores cualificados de servicios de confianza puedan cumplir los requisitos del Reglamento (UE) n.o 910/2014. Con el fin de garantizar un plazo suficiente para la auditoría de los prestadores de servicios de confianza en lo que respecta al cumplimiento de los requisitos del presente Reglamento, este debe empezar a ser aplicable veinticuatro meses después de su entrada en vigor. |
|
(4) |
La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (2), la Comisión debe revisar y actualizar el presente Reglamento, en caso necesario, para mantenerlo en consonancia con la evolución mundial, las nuevas tecnologías, normas o especificaciones técnicas y seguir las mejores prácticas del mercado interior. |
|
(5)
(6)
(7) |
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento.
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5), emitió su dictamen el 6 de junio de 2025.
Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
En el anexo del presente Reglamento se establecen las normas de referencia y las especificaciones a que se refiere el artículo 24, apartado 1 quater, del Reglamento (UE) n.o 910/2014.
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será aplicable a partir del 19 de agosto de 2027.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 29 de julio de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Se aplica la norma ETSI TS 119 461 V2.1.1 (2025-02) para la conformidad con el anexo C, cláusula C.3, con las siguientes adaptaciones:
1) 2.1 Referencias normativas
|
— |
[1] ETSI EN 319 401 V3.1.1 (2024-06): «Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers» [«Firmas electrónicas e infraestructuras de confianza (ESI); Requisitos de política general para prestadores de servicios de confianza», documento en inglés]. |
2) C.3 Casos de uso para la expedición de certificados cualificados o declaraciones electrónicas cualificadas de atributos de conformidad con el artículo 24, apartado 1, apartados 1 bis y 1 ter, del Reglamento (UE) n.o 910/2014
|
— |
[CONDICIONAL] QTS-C3-01: Si la verificación de la identidad para un certificado cualificado o una declaración electrónica cualificada se realiza junto con la verificación de la identidad para expedir pruebas fidedignas, dicho proceso de verificación de la identidad:
|
3) C.3.4 Caso de uso para la acreditación de la identidad por otros medios de identificación
|
— |
QTS-C.3.4-06A: El organismo independiente de evaluación de la conformidad mencionado en [CONDICIONAL] QTS -C.3.4-06, letra c), estará acreditado de conformidad con el artículo 3, apartado 18, del Reglamento (UE) n.o 910/2014 y, si se cumplen todos los requisitos aplicables, la evaluación debe dar lugar a un certificado de conformidad basado en una auditoría de certificación. Este proceso de certificación formal se basará en un proceso de evaluación de la seguridad que se remita a los niveles de seguridad definidos para los medios de identificación electrónica notificados o las carteras europeas de identidad digital certificadas con arreglo al Reglamento (UE) n.o 910/2014 e incluirá pruebas rigurosas para evaluar la resistencia frente a posibles amenazas a la seguridad. Estas evaluaciones emplearán las normas técnicas pertinentes para demostrar su solidez frente a tales ataques. |
4) 9.2.3.4 Caso de uso para el funcionamiento automatizado
|
— |
USE-9.2.3.4-04: El prestador de servicios de acreditación de la identidad (IPSP) establecerá valores objetivo para la tasa de falsa aceptación (FAR) y la tasa de falso rechazo (RRF), sobre la base de un análisis de riesgos y su procedimiento de inteligencia sobre amenazas, siguiendo la metodología establecida en el informe de ENISA «Methodology for sectoral cybersecurity assessments» («Metodología para las evaluaciones sectoriales de la ciberseguridad», documento en inglés) [i.28] o una metodología equivalente, en procesos de acreditación de identidad totalmente automatizados. Estos valores objetivo serán iguales o inferiores a los establecidos para los casos de uso de carácter híbrido, cuando existan. El IPSP mantendrá estos valores objetivo para la FAR y la RRF de manera coherente, con el apoyo de un análisis de riesgos y su procedimiento de inteligencia sobre amenazas. |
5) 8.3.3 Validación del documento físico de identidad
|
— |
VAL-8.3.3-21: La eficacia de las medidas para cumplir los requisitos VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A y VAL-8.3.3-07X será sometida a prueba por un laboratorio acreditado o una autoridad nacional competente, siempre que estén designados, a más tardar el 19 de agosto de 2027 y posteriormente cada dos años. |
6) 7.12. Cese y planes de cese
|
— |
OVR-7.12-02: El plan de cese cumplirá los requisitos establecidos en los actos de ejecución adoptados en virtud del artículo 24, apartado 5, del Reglamento (UE) n.o 910/2014 [i.1]. |
Axencia Estatal Boletín Oficial do Estado
Avda. de Manoteras, 54 - 28050 Madrid
