Agencia Estatal Boletín Oficial del Estado
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 45 quinquies, apartado 5, su artículo 45 sexies, apartado 2, y su artículo 45 septies, apartados 6 y 7,
Considerando lo siguiente:
|
(1) |
El Reglamento (UE) n.o 910/2014 crea un marco jurídico para la expedición y la validación de declaraciones electrónicas de atributos, que incluye la obligación de que los prestadores de declaraciones electrónicas de atributos proporcionen a los usuarios de la cartera europea de identidad digital (en lo sucesivo, «cartera») la posibilidad de solicitar, obtener, almacenar y gestionar la declaración electrónica de atributos con independencia del Estado miembro en el que se proporcionen las carteras. Las declaraciones electrónicas de atributos son componentes cruciales para el establecimiento de un ecosistema de cartera europea de identidad digital (en lo sucesivo, «ecosistema de cartera») seguro e interoperable. Permiten a los usuarios compartir información con las partes usuarias de manera fiable en diversos casos de uso. |
|
(2) |
Las interfaces con las carteras europeas de identidad digital que deben proporcionar los prestadores de declaraciones electrónicas cualificadas de atributos según lo dispuesto en el artículo 45 octies del Reglamento (UE) n.o 910/2014 subrayan la importancia de las declaraciones electrónicas de atributos para el ecosistema de cartera y facilitan su rápida aceptación. |
|
(3) |
La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. Con el fin de garantizar el máximo nivel de armonización entre los Estados miembros para el desarrollo y la certificación de las carteras, las especificaciones técnicas establecidas en el presente Reglamento se basan en el trabajo realizado con arreglo a la Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (2), y en particular la arquitectura y el marco de referencia que forman parte de él. De conformidad con el considerando 75 del Reglamento 2024/1183 del Parlamento Europeo y del Consejo (3), la Comisión debe revisar y, en caso necesario, actualizar el presente Reglamento, para mantenerlo en consonancia con la evolución mundial, la arquitectura y el marco de referencia, y seguir las mejores prácticas en el mercado interior, en particular por lo que respecta a la expedición de declaraciones electrónicas de atributos y al cotejo de atributos con fuentes auténticas o intermediarios designados. |
|
(4) |
Cuando los prestadores de declaraciones electrónicas cualificadas de atributos y declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, expidan declaraciones de las que se afirme que cumplen los requisitos de los sistemas para la declaración de atributos registrados en el catálogo, las políticas y los procedimientos para garantizar el cumplimiento de los requisitos de dichos sistemas deben formar parte de la evaluación de la conformidad establecida en el Reglamento (UE) n.o 910/2014. |
|
(5) |
La protección frente a la información poco fiable es de gran importancia para la digitalización de las certificaciones. Por consiguiente, deben poder revocarse las declaraciones electrónicas cualificadas de atributos y las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, o deben aplicarse medidas alternativas que contrarresten los riesgos relacionados con la no revocabilidad. Determinadas circunstancias, como la solicitud explícita de la persona a la que se expidió la declaración electrónica de atributos, o cuando el prestador sepa que se han puesto en peligro la seguridad o la fiabilidad de las declaraciones electrónicas cualificadas de atributos, o cuando así lo exija el Derecho de la Unión o nacional, deben dar lugar a la revocación por parte del prestador de una declaración electrónica de atributos. Para salvaguardar los derechos fundamentales a la privacidad y a la protección de datos del usuario, en particular minimizando adecuadamente los riesgos de vinculación y trazabilidad, los prestadores de declaraciones electrónicas cualificadas de atributos y declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, deben establecer políticas de gestión de la revocación que protejan la privacidad. |
|
(6) |
Con objeto de facilitar la cooperación entre los Estados miembros y la creación de un ecosistema de identidad digital seguro e interoperable, que incluya el reconocimiento y la interoperabilidad transfronterizos de las declaraciones electrónicas cualificadas de atributos y las declaraciones electrónicas de atributos proporcionadas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, deben establecerse procedimientos simplificados de comunicación administrativa entre las partes interesadas pertinentes, que incluyan la publicación de información para identificar con rapidez a los organismos del sector público pertinentes. Los Estados miembros deben notificar a la Comisión los atributos pertinentes. Por lo tanto, para garantizar la verificación oportuna, eficiente e interoperable de estos atributos, las notificaciones pertinentes a la Comisión deben estar al menos en inglés, ya que esto facilita su amplia accesibilidad, evaluación y comprensión y, al mismo tiempo, refuerza la cooperación entre las partes interesadas pertinentes. No obstante, la traducción de la documentación ya existente no debe generar cargas administrativas o financieras excesivas. |
|
(7) |
Para que los usuarios y los prestadores de servicios puedan verificar que las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, han sido efectivamente expedidas por ese organismo del sector público o en su nombre, es preciso que los Estados miembros notifiquen dichos organismos del sector público a la Comisión. Al notificar los organismos del sector público que expiden declaraciones electrónicas de atributos de conformidad con el artículo 45 septies y el anexo VII del Reglamento (UE) n.o 910/2014, los Estados miembros deben presentar un informe de evaluación de la conformidad que confirme un nivel de fiabilidad equivalente al de los prestadores cualificados de servicios de confianza. Sin embargo, a diferencia de los prestadores cualificados de servicios de confianza que expiden declaraciones electrónicas cualificadas de atributos, en lo que respecta a estos organismos del sector público, corresponde a los Estados miembros decidir cómo garantizar que los prestadores cumplan los requisitos con el paso del tiempo. Por consiguiente, a fin de mantener un alto nivel de confianza en las declaraciones del sector público en toda la Unión, se anima a los Estados miembros a poner en común sus mejores prácticas sobre cómo garantizar la fiabilidad continua a través del Grupo de Cooperación sobre la Identidad Digital Europea, creado en virtud del artículo 46 sexies, apartado 1, del Reglamento (UE) n.o 910/2014 (en lo sucesivo, el «Grupo de Cooperación»). La Comisión debe establecer, mantener y publicar una lista de prestadores y asegurarse de que el acceso a ella sea fácil para el público. |
|
(8) |
La Comisión debe establecer un catálogo de atributos con la ayuda del Grupo de Cooperación para facilitar el cotejo de atributos con fuentes auténticas por parte de los prestadores cualificados de servicios de confianza que expidan declaraciones electrónicas cualificadas de atributos. El registro en el catálogo de atributos debe ser obligatorio para los atributos enumerados en el anexo VI del Reglamento (UE) n.o 910/2014. Para los demás atributos, el registro sería opcional. |
|
(9) |
La Comisión debe establecer un catálogo de sistemas para la declaración de atributos, con la asistencia del Grupo de Cooperación, a fin de facilitar la expedición de declaraciones por prestadores cualificados de servicios de confianza que expidan declaraciones electrónicas cualificadas de atributos y prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, y para facilitar la armonización y la interoperabilidad transfronteriza de estas declaraciones. El registro de sistemas en el catálogo de sistemas debe ser opcional. Las solicitudes de registro en el catálogo o de introducción de cambios en él deben ser presentadas por el titular del sistema para la declaración de atributos y pueden incluir atributos que no figuren en el catálogo de atributos. La Comisión debe evaluar esas solicitudes teniendo en cuenta las necesidades de interoperabilidad y armonización. |
|
(10) |
Para garantizar que el catálogo de atributos proporcione información significativa y alcance un alto nivel de interoperabilidad dentro del ecosistema de la declaración electrónica de atributos, debe proporcionar al menos unos elementos mínimos de información, como una descripción semántica del atributo, el espacio de nombres de su identificador y el tipo de datos del atributo. Con el mismo fin, el catálogo de sistemas para la declaración de atributos debe contener descripciones de tipos comunes de declaraciones electrónicas de atributos y una descripción del modelo de confianza y los mecanismos de gobernanza aplicados en el marco del sistema de declaración. La información contenida en los catálogos debe incluir las versiones de los atributos y sistemas, de modo que las declaraciones expedidas con arreglo a versiones específicas no se vean afectadas por los cambios en esos atributos y sistemas. |
|
(11) |
Para garantizar la eficacia del cotejo de atributos con fuentes auténticas por los prestadores cualificados de servicios de confianza que expiden declaraciones electrónicas cualificadas de atributos, también a través de intermediarios designados que proporcionen mecanismos de cotejo indirectos a los prestadores de servicios, los Estados miembros deben implantar, dentro del plazo establecido en el artículo 45 sexies, apartado 1, del Reglamento (UE) n.o 910/2014, mecanismos que permitan a los prestadores cualificados de servicios de confianza que expiden declaraciones electrónicas cualificadas de atributos solicitar el cotejo de atributos. Dichos mecanismos deben permitir a los prestadores cualificados de servicios de confianza que expiden declaraciones electrónicas cualificadas de atributos determinar qué atributos pueden cotejarse y cómo cotejarlos. Asimismo, deben incluir información detallada sobre los puntos de acceso y los protocolos de servicio para comprobar la validez y la exactitud de los atributos y deben contemplar la posibilidad de ofrecer un único punto de verificación a nivel nacional. |
|
(12) |
Más concretamente, los Estados miembros deben poner a disposición de los prestadores cualificados de servicios de confianza que expidan declaraciones electrónicas cualificadas de atributos los mecanismos para acceder a puntos de verificación para cada uno de los atributos enumerados en el anexo VI de dicho Reglamento (UE) n.o 910/2014, a nivel nacional, y para utilizarlos. Estos mecanismos deben permitir a los prestadores cualificados de servicios de confianza que expidan declaraciones electrónicas cualificadas de atributos presentar, a petición del usuario, atributos específicos a un punto de verificación para la expedición de la declaración y durante su vida útil. Los mecanismos de verificación deben utilizar medios electrónicos adecuados para el tratamiento automático y para que se obtengan lo antes posible las respuestas del punto de verificación. Estas respuestas deben confirmar si los atributos presentados por los prestadores cualificados de servicios de confianza que expiden declaraciones electrónicas cualificadas de atributos corresponden a los atributos almacenados en relación con dicho usuario en la fuente auténtica pertinente y deben especificar la fuente auténtica con la que se llevó a cabo el cotejo. Para evitar conductas indebidas, como solicitudes de verificación ilegales o manifiestamente excesivas, los Estados miembros podrán imponer mecanismos de control al uso de los puntos de verificación, cuando lo consideren oportuno teniendo en cuenta los factores pertinentes, en particular si las fuentes auténticas contienen información asimilable a datos personales o de carácter confidencial o sensible en virtud del Derecho de la Unión o nacional. |
|
(13) |
De conformidad con los principios establecidos por el Reglamento sobre la Europa Interoperable (4), a fin de facilitar el establecimiento del catálogo de atributos y el catálogo de sistemas para la declaración de atributos, así como la reutilización, en la medida de lo posible, de los catálogos, los sistemas y la información existentes, la Comisión debe aprovechar, cuando proceda, las sinergias con los servicios comunes del sistema técnico con arreglo al Reglamento (UE) 2018/1724 del Parlamento y del Consejo, relativo a la creación de una pasarela digital única y por el que se modifica el Reglamento (UE) n.o 1024/2012 (5). |
|
(14) |
Con el fin de mejorar la interoperabilidad de las declaraciones electrónicas de atributos expedidas por prestadores no cualificados de servicios de confianza, los emisores de declaraciones podrán seguir los principios y requisitos establecidos en el presente Reglamento por lo que respecta a las declaraciones electrónicas no cualificadas de atributos. |
|
(15) |
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (6) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (7) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento. |
|
(16) |
Con el objetivo de proporcionar a la Comisión y a los Estados miembros tiempo suficiente para establecer la lista de prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, los requisitos del presente Reglamento relativos al catálogo de atributos, al catálogo de sistemas para la declaración de atributos y a los puntos de verificación de atributos deben empezar a ser aplicables doce meses después de la fecha de entrada en vigor del presente Reglamento. |
|
(17) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (8), emitió su dictamen el 31 de enero de 2025. |
|
(18) |
Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014, |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Objeto y ámbito de aplicación
El presente Reglamento establece las normas, las especificaciones y los procedimientos de referencia, que deben actualizarse periódicamente para mantenerlos en consonancia con la evolución de la tecnología y las normas y con el trabajo realizado sobre la base de la Recomendación (UE) 2021/946, y en particular la arquitectura y el marco de referencia, en relación con:
|
1) |
las declaraciones electrónicas cualificadas de atributos; |
|
2) |
las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este; |
|
3) |
la lista de prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este; |
|
4) |
el catálogo de atributos y el catálogo de sistemas para la declaración de atributos a que se refieren los puntos 1) y 2); |
|
5) |
el cotejo de atributos por referencia a fuentes auténticas o a intermediarios designados. |
Definiciones
A los efectos del presente Reglamento, se entenderá por:
|
1) |
«unidad de cartera»: configuración única de una solución de cartera que incluye instancias de cartera, aplicaciones criptográficas seguras de cartera y dispositivos criptográficos seguros de cartera proporcionados por un proveedor de carteras a un usuario particular de una cartera; |
|
2) |
«usuario de una cartera»: usuario que tiene el control sobre la unidad de cartera; |
|
3) |
«catálogo de atributos»: repositorio digital de atributos que la Comisión mantiene y publica en línea; |
|
4) |
«sistema para la declaración de atributos»: conjunto de normas aplicables a uno o varios tipos de declaraciones electrónicas de atributos; |
|
5) |
«tipo de declaración electrónica de atributos»: grupo de declaraciones electrónicas de atributos designado específicamente y descrito semánticamente; |
|
6) |
«catálogo de sistemas para la declaración de atributos»: repositorio digital en el que se enumeran los sistemas para la declaración de atributos registrados de conformidad con el presente Reglamento y que la Comisión mantiene [y publica en línea]; |
|
7) |
«solución de cartera»: combinación de software, hardware, servicios, ajustes y configuraciones, que incluye instancias de cartera, una o más aplicaciones criptográficas seguras de cartera y uno o más dispositivos criptográficos seguros de cartera; |
|
8) |
«instancia de cartera»: aplicación instalada y configurada en el dispositivo o el entorno de un usuario de una cartera, que forma parte de una unidad de cartera y que el usuario de una cartera utiliza para interactuar con la unidad de cartera; |
|
9) |
«aplicación criptográfica segura de cartera»: aplicación que gestiona activos críticos al estar vinculada a las funciones criptográficas y no criptográficas proporcionadas por el dispositivo criptográfico seguro de cartera y utilizarlas; |
|
10) |
«dispositivo criptográfico seguro de cartera»: dispositivo resistente a las manipulaciones fraudulentas que proporciona un entorno vinculado a la aplicación criptográfica segura de cartera y utilizado por esta para proteger activos críticos y proporcionar funciones criptográficas para la ejecución segura de operaciones críticas; |
|
11) |
«proveedor de cartera»: persona física o jurídica que proporciona soluciones de cartera; |
|
12) |
«activos críticos»: activos contenidos en una unidad de cartera o relacionados con ella, de tan extraordinaria importancia que si su disponibilidad, confidencialidad o integridad se vieran comprometidas, el efecto sobre la capacidad para utilizar la unidad de cartera sería muy grave y debilitante; |
|
13) |
«propietario de un sistema para la declaración de atributos»: entidad responsable de establecer y mantener un sistema para la declaración de atributos. |
Expedición de declaraciones electrónicas cualificadas de atributos y declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este
1. Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, cumplirán la lista de normas y especificaciones de referencia establecida en el anexo I y se asegurarán de que las declaraciones electrónicas de atributos que expidan cumplen las especificaciones técnicas establecidas en el anexo II.
2. Cuando los prestadores de declaraciones electrónicas de atributos cualificadas y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, expidan declaraciones electrónicas de atributos que estén incluidas en sistemas registrados en el catálogo de sistemas para la declaración de atributos, cumplirán los requisitos del sistema para la declaración de atributos correspondiente. Las políticas y los procedimientos establecidos por los emisores de declaraciones para asegurar el cumplimiento de los requisitos de los sistemas para la declaración de atributos formarán parte de la evaluación de la conformidad establecida en el Reglamento (UE) n.o 910/2014.
Revocación de las declaraciones electrónicas cualificadas de atributos y de las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este
1. Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, dispondrán de políticas por escrito y públicamente accesibles relativas a la gestión del estado de validez o de revocación. Estas políticas incluirán, cuando proceda, las condiciones en las que las declaraciones electrónicas de atributos pueden revocarse sin demora y medidas para garantizar que esté disponible la información sobre el estado de validez.
2. Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, serán las únicas entidades que podrán revocar las declaraciones electrónicas de atributos que expidan.
3. Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, revocarán esas declaraciones, siempre que se hayan expedido con un período de validez de más de veinticuatro horas, al menos en las circunstancias siguientes:
|
a) |
cuando lo solicite expresamente la persona a la que se haya expedido la declaración electrónica de atributos o, cuando proceda, el sujeto de la declaración; |
|
b) |
cuando el prestador sepa que se ha puesto en peligro la seguridad o la fiabilidad de las declaraciones electrónicas cualificadas de atributos o de las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este; |
|
c) |
en otras situaciones en que lo exija el Derecho de la Unión o nacional, o determinadas por los prestadores en sus políticas a que se refiere el apartado 1. |
4. Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, establecerán técnicas de revocación y métodos de gestión que protejan la privacidad y dificulten la vinculación o la trazabilidad.
5. Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, pondrán a disposición de las partes usuarias información sobre el estado de validez o de revocación de las declaraciones electrónicas de atributos que hayan expedido de tal manera que la integridad y la autenticidad de dicha información estén garantizadas.
Notificación de organismos del sector público
1. Los Estados miembros presentarán al menos la información establecida en el anexo III sobre los organismos del sector público a que se refiere el artículo 45 septies, apartado 3, del Reglamento (UE) n.o 910/2014, a través de un sistema de notificación electrónica seguro facilitado por la Comisión.
2. Los Estados miembros notificarán cualquier cambio en la información notificada.
3. Los Estados miembros efectuarán las notificaciones al menos en inglés. Los Estados miembros no estarán obligados a traducir ningún documento justificativo de las notificaciones cuando esto suponga una carga administrativa o financiera excesiva.
4. Cuando proceda, la Comisión podrá pedir a los Estados miembros que faciliten información adicional.
Publicación de la lista de organismos del sector público
1. La Comisión establecerá, mantendrá y publicará una lista de prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, basándose en la información notificada por los Estados miembros de conformidad con el artículo 5.
2. La Comisión garantizará que se pueda acceder a la lista a que se refiere el apartado 1:
|
a) |
en forma tanto firmada electrónicamente como sellada electrónicamente adecuada para el tratamiento automatizado y a través de un sitio web legible por el ser humano; |
|
b) |
sin necesidad de registrarse ni autenticarse; |
|
c) |
únicamente utilizando seguridad de la capa de transporte de última generación. |
3. La Comisión publicará, a través de un canal seguro y sin demora indebida:
|
a) |
las especificaciones técnicas de la lista; |
|
b) |
la información relativa a la URL en la que esté publicada la lista; |
|
c) |
los certificados que vayan a utilizarse para verificar la firma electrónica o el sello electrónico en la lista; |
|
d) |
la información relativa a los mecanismos utilizados para validar futuros cambios en la ubicación o los certificados a que se refieren las letras b) y c). |
Creación y mantenimiento del catálogo de atributos
1. La Comisión establecerá y publicará un catálogo de atributos e implantará un sistema seguro que permita solicitar que se incluyan o modifiquen atributos en el catálogo de atributos.
2. La Comisión evaluará las solicitudes que se realicen utilizando el sistema mencionado en el apartado 1 para la inclusión o la modificación de un atributo en el catálogo de atributos, previa consideración de cualquier asesoramiento proporcionado por el Grupo de Cooperación. En su evaluación, la Comisión tendrá en cuenta si la inclusión del atributo contribuye a establecer una base común para una interacción electrónica segura y respetuosa de la privacidad entre los ciudadanos, las empresas y las autoridades públicas, y a fomentar la interoperabilidad. La Comisión tendrá en cuenta también las normativas sectoriales, cuando proceda.
3. Los Estados miembros solicitarán la inclusión de los atributos enumerados en el anexo VI del Reglamento (UE) n.o 910/2014 en el catálogo de atributos cuando dichos atributos se basen en fuentes auténticas a efectos de la verificación por parte de prestadores cualificados de servicios de confianza.
4. Además, los Estados miembros podrán solicitar la inclusión de atributos que no estén enumerados en el anexo VI en el catálogo de atributos cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público. Las entidades privadas que se consideren fuente principal de información o que estén reconocidas como auténticas de conformidad con el Derecho de la Unión o nacional, incluidas las prácticas administrativas, podrán solicitar la inclusión de atributos que no estén enumerados en el anexo VI en el catálogo de atributos siempre que la entidad solicitante sea responsable de dichos atributos.
5. La solicitud de inclusión o de modificación de un atributo en el catálogo contendrá al menos la siguiente información:
|
a) |
la identificación de la entidad que presenta la solicitud; |
|
b) |
cuando proceda, una referencia al Derecho de la Unión o nacional o a las prácticas administrativas con arreglo a los cuales la entidad que presenta la solicitud se considera una fuente principal de información o una fuente auténtica reconocida; |
|
c) |
si la solicitud se refiere a un atributo ya existente en el catálogo o es un atributo nuevo; |
|
d) |
un espacio de nombres para el identificador de los atributos, cuyo valor es único en el catálogo de atributos; |
|
e) |
un identificador del atributo, único dentro del espacio de nombres, y la versión del atributo; |
|
f) |
la descripción semántica del atributo; |
|
g) |
el tipo de datos del atributo; |
|
h) |
el punto de verificación del atributo a nivel nacional o un enlace a una descripción sobre cómo poner en marcha las solicitudes de verificación. |
6. El solicitante firmará o sellará la solicitud de inclusión o de modificación de un atributo mediante una firma electrónica cualificada o un sello electrónico cualificado o una firma electrónica avanzada o un sello electrónico avanzado basados en un certificado cualificado.
7. La Comisión, tras la evaluación a que se refiere el apartado 2 y después de verificar que la información facilitada en la solicitud de inclusión o de modificación de un atributo contiene todos los elementos enumerados en el apartado 5, podrá incluir el atributo solicitado o la modificación solicitada en el catálogo de atributos.
8. El catálogo de atributos sellado por la Comisión será de acceso público, a través de un canal seguro, gratuito y que no requerirá identificación ni autenticación previas, y se publicará en formatos legibles tanto por máquina como por el ser humano. El catálogo incluirá también una función de búsqueda.
9. La Comisión publicará las especificaciones técnicas que utilice para el catálogo de atributos.
10. La Comisión expedirá un identificador único para cada atributo registrado.
Creación y mantenimiento del catálogo de sistemas para la declaración de atributos
1. La Comisión establecerá y publicará un catálogo de sistemas para la declaración de atributos e implantará un sistema seguro que permita solicitar que se incluyan o modifiquen sistemas para la declaración de atributos en el catálogo de sistemas para la declaración de atributos.
2. Las solicitudes de inclusión o modificación de sistemas para la declaración de atributos en el catálogo de estos sistemas serán evaluadas por la Comisión, previa consideración de cualquier asesoramiento proporcionado por el Grupo de Cooperación. En su evaluación, la Comisión tendrá en cuenta si el sistema contribuye a establecer una base común para una interacción electrónica segura y respetuosa de la privacidad entre los ciudadanos, las empresas y las autoridades públicas y contribuye a fomentar la interoperabilidad. La Comisión tendrá en cuenta también las normativas sectoriales, cuando proceda.
3. Los propietarios de un sistema para la declaración de atributos podrán solicitar que se añadan sistemas al catálogo de sistemas. Toda solicitud de inclusión o modificación de un sistema en el catálogo de sistemas para la declaración de atributos contendrá, como mínimo:
|
a) |
el nombre del sistema, elegido por el propietario del sistema para la declaración de atributos y único en el catálogo de sistemas para la declaración de atributos; |
|
b) |
el nombre y la información de contacto del propietario del sistema para la declaración de atributos; |
|
c) |
el estado y la versión del sistema; |
|
d) |
una referencia a leyes, normas o directrices específicas, cuando estén sujetas a ellas la expedición, la validación o la utilización de una declaración electrónica de atributos en el ámbito de aplicación del sistema; |
|
e) |
el formato o los formatos de la declaración electrónica de atributos en el ámbito del sistema; |
|
f) |
uno o varios espacios de nombres, identificadores de atributos, descripciones semánticas y tipos de datos de cada atributo que forme parte de una declaración electrónica de atributos en el ámbito del sistema, ya sea por referencia a un atributo del catálogo de atributos del artículo 7, o a un atributo definido de manera análoga en el ámbito del sistema; |
|
g) |
una descripción del modelo de confianza y de los mecanismos de gobernanza aplicados en el marco del sistema, incluidos los mecanismos de revocación; |
|
h) |
cualquier requisito relativo a los prestadores de las declaraciones electrónicas de atributos o a las fuentes de información a las que dichos prestadores recurran cuando expiden declaraciones electrónicas de atributos, incluidas las fuentes auténticas, si procede; |
|
i) |
una explicación de si las declaraciones electrónicas de atributos incluidas en el ámbito del sistema deben expedirse como declaraciones electrónicas cualificadas de atributos, como declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, o como ambas cosas. |
4. Los sistemas cuya inclusión en el catálogo se solicite contendrán únicamente atributos que sean identificables mediante identificadores únicos. La solicitud de inclusión o de modificación de un sistema para la declaración de atributos será firmada o sellada por el solicitante mediante una firma electrónica cualificada o un sello electrónico cualificado, o una firma electrónica avanzada o un sello electrónico avanzado basados en un certificado cualificado.
5. La Comisión, tras la evaluación a que se refiere el apartado 2 y después de comprobar que la información facilitada en la solicitud de inclusión o de modificación de un sistema para la declaración contiene todos los elementos enumerados en los apartados 3 y 4, podrá incluir el sistema o la modificación solicitados en el catálogo de sistemas para la declaración de atributos.
6. El catálogo de sistemas para la declaración de atributos, sellado por la Comisión, será de acceso público, a través de un canal seguro, gratuito y que no requiera de identificación ni de autenticación previas, y será legible por máquina y por el ser humano. El catálogo incluirá también una función de búsqueda y estará en un formato que garantice su integridad y autenticidad.
7. La Comisión publicará las especificaciones técnicas que utilice para el catálogo de sistemas para la declaración de atributos.
8. La Comisión expedirá un identificador único a cada sistema para la declaración de atributos registrado.
Cotejo de atributos con fuentes auténticas o intermediarios designados
1. Para permitir la verificación electrónica de los atributos a que se refiere el artículo 45 sexies, apartado 1, del Reglamento (UE) n.o 910/2014 por parte de los prestadores cualificados de servicios de confianza que expidan declaraciones cualificadas de atributos, a petición del usuario, los Estados miembros establecerán mecanismos que permitan esa verificación y podrán facilitar puntos de verificación únicos para los atributos enumerados en el anexo VI de ese Reglamento, cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público. Los Estados miembros publicarán información sobre los procedimientos para poner en marcha las solicitudes de verificación y para recibir los resultados de la verificación.
2. El mecanismo de verificación proporcionará un punto de acceso en el que los prestadores cualificados de servicios de confianza que expidan declaraciones electrónicas cualificadas de atributos puedan solicitar electrónicamente el cotejo con fuentes auténticas o intermediarios designados reconocidos a nivel nacional de los atributos a que se refiere el artículo 45 sexies, apartado 1, del Reglamento (UE) n.o 910/2014. Los atributos sujetos a verificación serán facilitados al punto de verificación por el prestador cualificado de servicios de confianza a petición del usuario. El organismo del sector público o el intermediario designado compartirán, a través del punto de verificación, los resultados de la verificación con los prestadores cualificados de servicios de confianza que expidan declaraciones electrónicas cualificadas de atributos.
3. En la solicitud de verificación se indicarán los atributos y los datos de identificación del sujeto del atributo cuya verificación solicite el prestador cualificado de servicios de confianza.
4. El resultado de la verificación mencionará exclusivamente si el atributo ha sido verificado o no y especificará el organismo del sector público responsable de la fuente auténtica o, cuando proceda, el organismo del sector público designado para actuar en nombre de la fuente auténtica con la que se ha cotejado el atributo.
5. Los Estados miembros podrán imponer controles de acceso u otros mecanismos de verificación que proporcionen integridad, autenticidad y confidencialidad para determinar que el solicitante es un prestador cualificado de servicios de confianza y actúa a petición de un usuario legítimo. Los Estados miembros podrán imponer también mecanismos de control sobre el uso de los métodos de verificación, cuando lo consideren oportuno, teniendo en cuenta los factores pertinentes, en particular si las fuentes auténticas contienen datos personales confidenciales o sensibles. Cuando establezcan estos mecanismos de control, los Estados miembros publicarán información sobre el alcance de los mecanismos de control como parte de la información a que se refiere el apartado 1.
Interoperabilidad y reutilización
1. A efectos de los artículos 3 a 9, los Estados miembros podrán remitirse a los servicios comunes del sistema técnico establecido en el artículo 14 del Reglamento (UE) 2018/1724, así como a los componentes nacionales conectados a ellos, y reutilizarlos.
2. Al establecer el sistema de notificación seguro y la lista de organismos del sector público a que se refieren los artículos 5 y 6 y los catálogos a que se refieren los artículos 7 y 8 del presente Reglamento, la Comisión Europea se remitirá a los servicios comunes del sistema técnico con arreglo al Reglamento (UE) 2018/1724, y los reutilizará, cuando proceda.
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Los artículos 6 a 9 serán de aplicación a partir del 19 de agosto de 2026.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 29 de julio de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p.73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) DO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(3) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Reglamento (UE) 2024/903 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, por el que se establecen medidas a fin de garantizar un alto nivel de interoperabilidad del sector público en toda la Unión (Reglamento sobre la Europa Interoperable) (DO L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
(5) Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 295 de 21.11.2018, p. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).
(6) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, expedirán sus declaraciones a personas físicas o jurídicas de conformidad con las especificaciones para los prestadores de servicios de confianza establecidas en la norma ETSI EN 319 401 v3.1.1 (2024-06) («ETSI EN 319 401»).
|
1) |
Los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este, expedirán sus declaraciones en un formato conforme con una de las normas enumeradas en el anexo II del Reglamento de Ejecución (UE) 2024/2979 de la Comisión (1). |
|
2) |
Para la expedición de declaraciones a personas físicas o jurídicas, los prestadores de declaraciones electrónicas cualificadas de atributos y los prestadores de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en nombre de este:
|
|
3) |
Además, cuando la declaración se expida a una cartera europea de identidad digital, el prestador de la declaración:
|
(1) Reglamento de Ejecución (UE) 2024/2979 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la integridad y las funcionalidades básicas de las carteras europeas de identidad digital (DO L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
Los Estados miembros notificarán a la Comisión, al menos:
|
1) |
el nombre del organismo del sector público y, cuando proceda, el número de registro tal y como figure en los registros oficiales; el Estado miembro en el que el organismo del sector público esté establecido; el Derecho de la Unión o nacional de conformidad con el cual el organismo del sector público esté establecido como responsable de la fuente auténtica con arreglo a la cual se expide la declaración electrónica de atributos o esté designado para actuar en nombre del organismo del sector público responsable de la fuente auténtica; |
|
2) |
el correo electrónico y el número de teléfono de contacto del organismo del sector público; |
|
3) |
la URL de la página web en la que obtener información adicional sobre el organismo del sector público; |
|
4) |
el informe de evaluación de la conformidad, tal como se especifica en el artículo 45 septies, apartado 3, del Reglamento (UE) n.o 910/2014. |
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
