DOUE-L-2025-80668 Europeo Unión Europea Reglamento 20250506 849/2025 Reglamento de Ejecución (UE) 2025/849 de la Comisión, de 6 de mayo de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la presentación de información a la Comisión y al Grupo de Cooperación para la lista de carteras europeas de identidad digital certificadas. Diario Oficial de la Unión Europea 20250507 849 L 1 5 /doue/2025/849/L00001-00005.pdf L 20250527 N N N L https://data.europa.eu/eli/reg_impl/2025/849/spa Acceso a la información Certificaciones Comercio electrónico Información Protección de datos personales Seguridad informática DE CONFORMIDAD con el Reglamento 910/2014, de 23 de julio Comercio Derecho Administrativo Tecnología e investigación Telecomunicaciones

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 5 quinquies, apartado 7,

Considerando lo siguiente:

(1)

El marco europeo de identidad digital (en lo sucesivo, «marco») establecido en el Reglamento (UE) n.o 910/2014 es un componente crucial para la creación de un ecosistema de identidad digital seguro e interoperable en toda la Unión. El objetivo de este marco, con las carteras europeas de identidad digital (en lo sucesivo, «carteras») como piedra angular, es facilitar el acceso a los servicios en línea en todos los Estados miembros, para los ciudadanos, los residentes y las empresas, garantizando al mismo tiempo la protección de los datos personales y de la privacidad.

(2)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (2) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (3) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento.

(3)

Para que la Comisión establezca, publique en el Diario Oficial de la Unión Europea y mantenga en un formato legible por máquina una lista con la información presentada por los Estados miembros sobre las carteras certificadas, es preciso que establezca los formatos y procedimientos que los Estados miembros deberán utilizar para presentar y actualizar la información exigida a la Comisión y al Grupo de Cooperación sobre la Identidad Digital Europea creado en virtud del artículo 46 sexies, apartado 1, del Reglamento (UE) n.o 910/2014 (en lo sucesivo, el «Grupo de Cooperación»). Teniendo en cuenta que la información presentada está destinada a ser utilizada por la Comisión, el Grupo de Cooperación y el público en general, conviene que los Estados miembros presenten dicha información al menos en inglés, ya que esto facilita su accesibilidad general, su evaluación y su comprensión, al mismo tiempo que mejora la cooperación.

(4)

La información sobre las carteras certificadas que los Estados miembros deben presentar es esencial para garantizar la confianza, la transparencia y la armonización en todo el ecosistema de carteras, al fomentar la confianza entre los usuarios de una cartera, los proveedores de carteras y las autoridades reguladoras. Por consiguiente, debe incluir una descripción de una solución de cartera y del sistema de identificación electrónica en el marco del cual se proporciona. Esa descripción debe contener datos sobre la autoridad o las autoridades responsables de la solución de cartera y el sistema de identificación electrónica, el régimen de supervisión aplicable, el régimen de responsabilidades en lo que respecta a la parte que proporciona la solución de cartera, las disposiciones relativas a la suspensión o la revocación del sistema de identificación electrónica, de la solución de cartera proporcionada en el marco de este sistema o de cualesquiera partes afectadas de ella, así como sobre el certificado y el informe de evaluación de la certificación de la provisión y la gestión de las soluciones de cartera y de los sistemas de identificación electrónica en el marco de los cuales se proporcionan. La información debe ser suficiente para que la Comisión pueda establecer, publicar en el Diario Oficial de la Unión Europea y mantener en un formato legible por máquina una lista de carteras certificadas. El canal electrónico seguro utilizado para presentar información relativa a las carteras certificadas debe evitar que los Estados miembros presenten la misma información por duplicado.

(5)

 

(6)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4), emitió su dictamen el 31 de enero de 2025.

 

Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n. o  910/2014.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Objeto

El presente Reglamento establece los formatos y los procedimientos relativos a la presentación de información por los Estados miembros a la Comisión y al Grupo de Cooperación para la lista de carteras certificadas, con arreglo al artículo 5 quinquies del Reglamento (UE) n.o 910/2014, que debe actualizarse periódicamente para que esté siempre adaptada a la evolución de la tecnología y de las normas y al trabajo realizado sobre la base de la Recomendación (UE) 2021/946 de la Comisión (5), y en particular la arquitectura y el marco de referencia.

Artículo 2

Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)

«solución de cartera»: combinación de software, hardware, servicios, ajustes y configuraciones, que incluye instancias de cartera, una o más aplicaciones criptográficas seguras de cartera y uno o más dispositivos criptográficos seguros de cartera;

2)

«instancia de cartera»: aplicación instalada y configurada en el dispositivo o el entorno de un usuario de una cartera, que forma parte de una unidad de cartera y que el usuario de la cartera utiliza para interactuar con la unidad de cartera;

3)

«unidad de cartera»: configuración única de una solución de cartera que incluye instancias de cartera, aplicaciones criptográficas seguras de cartera y dispositivos criptográficos seguros de cartera proporcionados por un proveedor de carteras a un usuario particular de una cartera;

4)

«proveedor de cartera»: persona física o jurídica que proporciona soluciones de cartera;

5)

«usuario de una cartera»: usuario que tiene el control sobre la unidad de cartera;

6)

«aplicación criptográfica segura de cartera»: aplicación que gestiona activos críticos al estar vinculada a las funciones criptográficas y no criptográficas proporcionadas por el dispositivo criptográfico seguro de cartera y utilizarlas;

7)

«dispositivo criptográfico seguro de cartera»: dispositivo resistente a las manipulaciones fraudulentas que proporciona un entorno vinculado a la aplicación criptográfica segura de cartera y utilizado por esta para proteger activos críticos y proporcionar funciones criptográficas para la ejecución segura de operaciones críticas;

8)

«activos críticos»: activos contenidos en una unidad de cartera o relacionados con ella, de tan extraordinaria importancia que, si su disponibilidad, confidencialidad o integridad se vieran comprometidas, el efecto sobre la capacidad para utilizar la unidad de cartera sería muy grave y debilitante;

9)

«proveedor de datos de identificación de la persona»: persona física o jurídica responsable de la expedición y la revocación de los datos de identificación de la persona y de garantizar que los datos de identificación de la persona de un usuario estén vinculados criptográficamente a una unidad de cartera.

Artículo 3

Formato y procedimiento de presentación de información de los Estados miembros a la Comisión e información que deben presentar

1.   Los Estados miembros presentarán la información que figura en el anexo a la Comisión y al Grupo de Cooperación a través de un canal electrónico seguro facilitado por la Comisión.

2.   Los Estados miembros presentarán la información requerida en el apartado 1 al menos en inglés.

3.   Cuando se produzcan cambios en la información presentada, y en concreto cambios en el estado de certificación de las carteras, los Estados miembros presentarán la información actualizada a través del canal a que se refiere el apartado 1.

Artículo 4

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 6 de mayo de 2025.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

 

(1)   DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(4)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(5)  Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).

ANEXO

Información que deben presentar los Estados miembros

1.

Indicación del objeto de la presentación de información, entre los siguientes:

a)

cartera proporcionada y certificada;

b)

introducción de un cambio en cualquier información presentada anteriormente relativa a una cartera;

c)

solicitud de retirada de una cartera de la lista de carteras proporcionadas y certificadas.

2.

Información que debe presentarse sobre una cartera proporcionada y certificada:

a)

una descripción de la solución de cartera, que incluya:

el nombre de la solución de cartera,

un identificador único de referencia de la solución de cartera,

el nombre, el nombre comercial cuando proceda, la dirección y, en su caso, información adicional sobre el proveedor de la cartera,

una descripción de la gestión de la solución de cartera, que incluya:

características y diseño,

expedición, entrega y activación,

suspensión, revocación y reactivación,

recuperación y copia de seguridad, cuando proceda,

renovación y sustitución,

prácticas de gestión de los registros de transacciones de la cartera;

b)

una descripción del sistema de identificación electrónica en el marco del cual se proporciona y se certifica la solución de cartera, que incluya:

la denominación del sistema de identificación electrónica,

un identificador único para el sistema de identificación electrónica,

el nombre de la autoridad responsable o los nombres de las autoridades responsables del sistema de identificación electrónica,

una descripción de la gestión y la organización del sistema de identificación electrónica,

el nombre, el nombre comercial cuando proceda, la dirección y, en su caso, información adicional sobre el proveedor o los proveedores de datos de identificación de la persona,

para cada proveedor de datos de identificación de la persona:

el conjunto o los conjuntos de datos de identificación de la persona proporcionados a personas físicas y jurídicas en el marco del sistema de identificación electrónica,

una descripción del conjunto o los conjuntos de datos de identificación de la persona respecto de los cuales el Estado miembro garantiza su unicidad,

una descripción del régimen de supervisión de conformidad con el artículo 46 bis del Reglamento (UE) n.o 910/2014 por lo que respecta a:

los proveedores de datos de identificación de la persona, incluida la identificación del organismo de supervisión,

el proveedor de la cartera, incluida la identificación del organismo de supervisión,

una descripción del régimen de responsabilidades de conformidad con el artículo 5 bis, apartado 19, del Reglamento (UE) n.o 910/2014 por lo que respecta a:

el proveedor o los proveedores de datos de identificación de la persona,

el proveedor de la cartera,

una descripción del proceso de inscripción, incluidas descripciones de:

la solicitud de unidades de cartera y datos de identificación de la persona,

el registro de usuarios de una cartera,

cuando proceda, la acreditación y verificación de la identidad de las personas físicas,

cuando proceda, la acreditación y verificación de la identidad de las personas jurídicas,

cualquier política aplicable a la autoridad o las autoridades responsables del sistema de identificación electrónica, incluidas las disposiciones para la suspensión o la revocación de:

los sistemas de identificación electrónica,

las declaraciones de unidad de cartera expedidas por el proveedor de la cartera,

cualquier otra parte afectada de las carteras;

c)

el certificado y el informe de evaluación de la certificación, de conformidad con el artículo 5 quater del Reglamento (UE) n.o 910/2014.