Archivos de la etiqueta: identidad digital

08Sep/24

Ley Orgánica para la transformación digital y audiovisual de 3 de febrero 2023

Ecuador, Ley Orgánica, , , , , , , , , , , , , , , , , ,

Ley Orgánica para la transformación digital y audiovisual de 3 de febrero 2023. Oficio nº PAN-SEJV-2023-15 de 3 de febrero de 2003 (Registro Oficial, Año I, nº 245, Quito, martes 7 de febrero de 2023, Tercer suplemento nº 245) 

Oficio nº PAN-SEJV-2023-015

Quito D.M, 03 de febrero de 2023

Ingeniero, Hugo del Pozo Barrezueta

DIRECTOR DEL REGISTRO OFICIAL

En su Despacho.-

De mi consideración:

La Asamblea Nacional, de conformidad con las atribuciones que le confiere la Constitución de la República del Ecuador y la Ley Orgánica de la Función Legislativa, discutió y aprobó el Proyecto de LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL, calificado como urgente en materia económica.

En sesión del 31 de enero de 2023, el Pleno de la Asamblea Nacional conoció y se pronunció sobre la objeción parcial al referido Proyecto de Ley, presentada por el señor Guillermo Lasso Mendoza, Presidente Constitucional de la República, a fecha 18 de enero de 2023, mediante Oficio nº T.344-SGJ-23-0012.

Por lo expuesto, y tal como disponen los artículos 138 de la Constitución de la República del Ecuador y 64 de la Ley Orgánica de la Función Legislativa, acompaño el texto de la LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL, para que se sirva publicarlo en el Registro Oficial.

Con sentimientos de distinguida consideración.

Atentamente, DR. VIRGILIO SAQUICELA ESPINOZA, Presidente de la Asamblea Nacional

Firmado electrónicamente por: JAVIER VIRGILIO SAQUICELA ESPINOZA

Quito, Ecuador · (593 2) 3991000 · www.asambleanacional.gob.ec · [email protected]

CERTIFICACIÓN

En mi calidad de Secretario General de la Asamblea Nacional, me permito CERTIFICAR que el día 10 de diciembre de 2022 la Asamblea Nacional discutió en primer debate el “PROYECTO DE LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL”, calificado como urgente en materia económica, y en segundo debate el día 17 de diciembre de 2022, siendo en esta última fecha finalmente aprobado.

Dicho Proyecto de Ley fue objetado parcialmente por el Presidente Constitucional de la República el 18 de enero de 2023. Finalmente, la Asamblea Nacional el día 31 de enero de 2023, de conformidad con lo señalado en el tercer inciso del artículo 138 de la Constitución de la República del Ecuador y el tercer inciso del artículo 64 de la Ley Orgánica de la Función Legislativa, examinó y se pronunció sobre la objeción parcial al Proyecto de “LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL”, allanándose a la misma.

Quito D.M., 03 de febrero de 2023.

ABG. ÁLVARO SALAZAR PAREDES, Secretario General

Firmado electrónicamente por: ALVARO RICARDO SALAZAR PAREDES

EL PLENO

CONSIDERANDO

Que el artículo 3 de la Constitución de la República indica que son deberes primordiales del Estado la planificación del desarrollo nacional, la erradicación de la pobreza y la promoción del desarrollo sustentable;

Que el artículo 120, numeral 6, de la Constitución de la República, en concordancia con el artículo 9, numeral 6, de la Ley Orgánica de la Función Legislativa, dispone que es competencia de la Asamblea Nacional para “expedir, codificar, reformar y derogar las leyes, e interpretarlas con carácter generalmente obligatorio”;

Que el artículo 140 de la Constitución de la República prescribe que el Presidente de la República podrá enviar a la Asamblea Nacional proyectos de ley calificados de urgencia en materia económica para su tramitación dentro de un plazo máximo de treinta días a partir de su recepción;

Que el numeral 11 del artículo 147 de la Constitución de la República le atribuye la facultad al Presidente de la República para participar con iniciativa legislativa en el proceso de formación de leyes;

Que el artículo 261 de la Constitución de la República determina, entre las competencias exclusivas del Estado Central, el desarrollo de la política económica, tributaria, aduanera, arancelaria, fiscal, monetaria, comercio exterior y endeudamiento; la planificación nacional; el espectro radioeléctrico y el régimen general de comunicaciones y telecomunicaciones, puertos y aeropuertos; los recursos energéticos, minerales, hidrocarburos, hídricos, biodiversidad y recursos forestales; las áreas naturales protegidas y los recursos naturales; el registro de personas, nacionalización de extranjeros y control migratorio;

Que los numerales 1 y 2 del artículo 276 de la Constitución de la República establecen que el régimen de desarrollo tiene como objetivos mejorar la calidad de vida y aumentar las capacidades y potencialidades de la población;

Que los numerales 2, 5 y 6 del artículo 277 de la Constitución de la República prevén los deberes del Estado para la consecución del buen vivir, entre los que se encuentran el dirigir, planificar y regular el proceso de desarrollo; impulsar el desarrollo de las actividades económicas mediante un orden jurídico e instituciones políticas que las promuevan, fomenten y defiendan mediante el cumplimiento de la Constitución y la ley; así como promover e impulsar la ciencia, la tecnología, las artes, los conocimientos tradicionales y las actividades de la iniciativa creativa, comunitaria, asociativa, cooperativa y privada;

Que el artículo 283 de la Constitución de la República prescribe que el sistema económico propende una relación dinámica entre sociedad, Estado y mercado;

Que en el artículo 284 de la Constitución de la República, en sus numerales 6 y 7, indica que entre los objetivos de la política económica se encuentran los siguientes: “impulsar el pleno empleo y valorar todas las formas de trabajo, con respeto a los derechos laborales”; y, “mantener la estabilidad económica, entendida como el máximo nivel de producción y empleos sostenibles en el tiempo”;

Que el artículo 301 de la Constitución de la República dispone que sólo el Presidente de la República, mediante ley sancionada por la Asamblea Nacional, podrá establecer, modificar, exonerar o extinguir impuestos; mientras que las tasas y contribuciones se crean y regulan por acto normativo de órgano competente, de conformidad con la ley;

Que el artículo 304 de la Constitución de la República señala que la política comercial tendrá como objetivos desarrollar mercados internos y fortalecer el aparato productivo, así como regular, promover y ejecutar las acciones correspondientes para impulsar la inserción estratégica del país en la economía mundial;

Que el artículo 317 de la Constitución de la República determina que los recursos naturales no renovables son de propiedad inalienable e imprescriptible del Estado;

Que el artículo 319 de la Constitución de la República reconoce diversas formas de organización de la producción en la economía, en tal virtud alentará la producción que satisfaga la demanda interna y garantice una activa participación del Ecuador en el contexto internacional;

Que el artículo 320 de la Constitución de la República establece que la producción, en cualquiera de sus formas, se sujetará a principios y normas de calidad, sostenibilidad, productividad sistémica, valoración del trabajo, y eficiencia económica y social, gestionando que los procesos productivos sean participativos, transparentes y eficientes;

Que el artículo 321 de la Constitución de la República determina que el Estado reconoce y garantiza el derecho a la propiedad en sus diversas formas;

Que el artículo 334 de la Constitución de la República establece que le corresponderá al Estado, entre otras cosas, desarrollar políticas de fomento a la producción nacional en todos los sectores;

Que el artículo 339 de la Constitución de la República determina que el Estado promoverá las inversiones nacionales y extranjeras;

Que el artículo 395 de la Constitución de la República determina que el Estado garantizará un modelo sustentable de desarrollo, ambientalmente equilibrado y respetuoso de la diversidad cultural, que conserve la biodiversidad y la capacidad de regeneración natural, y asegure la satisfacción de las necesidades de las generaciones presentes y futuras;

Que para promover y garantizar nuevas inversiones que generen empleo se debe promulgar incentivos tributarios que brinden estabilidad y desarrollo económico en todas las industrias;

Que la administración pública debe estar guiada por una real eficiencia y simplificación administrativa; que garantice el ejercicio de los derechos, sin retrasos y demoras innecesarias; que reduzca los costos y optimice los recursos públicos, así como el tiempo de todos los ciudadanos; cumpliendo con el mandato constitucional de una administración pública eficiente, eficaz, transparentes y de calidad;

Que se ha evidenciado la necesidad de simplificar los procesos operativos para las inversiones en activos financieros de no residentes fiscales en Ecuador a fin de incentivar el ingreso de nuevos capitales al mercado ecuatoriano;

Que es necesario actualizar la clasificación de los datos públicos para dar libertad de elección de servidores de almacenamiento a las entidades públicas y así poder mantener respaldos adecuados y con altos estándares de seguridad para evitar vulneraciones de seguridad informática;

Que el eje central de la política pública debe ser la libertad de los ciudadanos para generar prosperidad y riqueza para todos los miembros de la sociedad; y,

En ejercicio de la facultad conferida por la Constitución de la República y la Ley Orgánica del Función Legislativa, expide la siguiente:

LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL

TÍTULO PRELIMINAR.- OBJETO Y ÁMBITO

Artículo 1.- Objetivos.

La presente Ley tiene por objetivos generales:

a. Promover la creación de oportunidades mediante la atracción y fomento de inversiones de la economía digital global;

b. Incentivar la creación de empleos de calidad;

c. Promover la eficiencia en los mercados, la construcción y la mejora regulatoria; y,

d. La simplificación y la adopción de medios y tecnologías digitales en la prestación de servicios públicos y gestión de todo tipo de trámites administrativos (ante cualquier nivel del gobierno), judiciales o privados; impulsando el uso y apropiación de las mismas en los sectores productivos, academia y sociedad, fortaleciendo la innovación, desarrollo e investigación para dicha adopción y enfocada en potenciar el desarrollo de la economía digital en el país.

Son objetivos específicos de esta Ley:

a. Promover la inversión e innovación mediante la modernización, actualización y simplificación de trámites, proceso y trabas regulatorias;

b. Establecer el marco regulatorio para el fomento de la transformación digital de las instituciones públicas, de las empresas privadas y de la sociedad; así como fortalecer el uso efectivo y eficiente de las plataformas, las tecnologías digitales, las redes y servicios digitales con el fin de atraer inversiones, impulsar la economía digital, la eficiencia y el bienestar social, desarrollando habilidades y competencias digitales necesarias para el empleo, educación, salud y productividad;

c. Fortalecer el ciberespacio ecuatoriano procurando garantizar la seguridad de la información personal de los ciudadanos; e,

d. Incentivar el uso y la optimización de los recursos necesarios para lograr la transformación digital.

Artículo 2.- Ejes de la Ley.

Son ejes de la presente Ley los siguientes:

a. Infraestructura digital: Conectividad y Servicios de Telecomunicaciones, Sistemas de Información;

b. Cultura e Inclusión Digital: Educación Digital, Salud Digital, Cultura Digital;

c. Economía Digital: Transformación Digital de estructura productiva, Comercio Electrónico;

d. Tecnologías emergentes para el desarrollo sostenible: Fomento de nuevas tecnologías en las industrias, Fomento de nuevas tecnologías para el medio ambiente, Ciudades Inteligentes y Sostenibles;

e. Gobierno Digital: Simplificación de trámites, Participación ciudadana por medios electrónicos, Gobierno de TICs, Identidad Digital;

f. Interoperabilidad y tratamiento de datos: Servicios de Interoperabilidad, Datos personales, Datos abiertos; y,

g. Seguridad Digital y confianza: Seguridad de la información.

LIBRO I.- DE LA TRANSFORMACIÓN DIGITAL

TÍTULO I.- LA RECTORÍA EN TRANSFORMACIÓN DIGITAL

Artículo 3.- Rectoría.

El ente rector en materia de telecomunicaciones será la entidad rectora en transformación digital y gobierno digital, para lo cual ejercerá atribuciones y responsabilidades, así como emitirá las políticas, directrices, acuerdos, normativa y lineamientos necesarios para su implementación.

Con la finalidad de facilitar la realización de actividades conjuntas e intercambio de información entre los distintos niveles de gobierno y las diferentes Instituciones Públicas que cuenten con plataformas tecnológicas, éstas deberán permitir y participar en la interoperabilidad con otros sistemas informáticos del Estado, conforme las directrices y metodologías que determine el ente rector.

El ente rector podrá conformar comités temporales, temáticos o sectoriales, para identificar las necesidades y formular las soluciones de transformación, con alineación al Plan Nacional de Desarrollo. Esto se realizará en coordinación con la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL), Instituciones Públicas, entidades privadas, todos los niveles de gobierno y sociedad civil.

Artículo 4.- De la transformación digital.

La Transformación Digital constituye el proceso continuo de adopción multimodal de tecnologías digitales que cambian fundamentalmente la forma en que los servicios gubernamentales y del sector privado se idean, planifican, diseñan, implementan y operan, con el objeto de mejorar la eficiencia, seguridad, certeza, velocidad y calidad de los servicios, optimizando sus costos y mejorando las condiciones de transparencia de los procesos y actuaciones del Estado en su interrelación con los ciudadanos.

Artículo 5.- Definiciones.

Para efectos de la aplicación de la presente Ley, se tendrán en cuenta las siguientes definiciones:

a. Tecnologías Digitales.-

Se refieren a las Tecnologías de la Información y la Comunicación – TIC, incluidos Internet, las tecnologías y dispositivos móviles, así como la analítica de datos utilizados para mejorar la generación, recopilación, intercambio, agregación, combinación, análisis, acceso, búsqueda y presentación de contenido digital, incluido el desarrollo de servicios y aplicaciones aplicables a la materia de gobierno digital.

b. Entorno Digital.-

Es el dominio o ámbito habilitado por las tecnologías y dispositivos digitales, generalmente interconectados a través de redes de datos o comunicación, incluyendo el Internet, que soportan los procesos, servicios, infraestructuras y la interacción entre personas.

c. Servicio Digital.-

Es aquel provisto de forma total o parcial a través de Internet u otra red equivalente, que se caracteriza por ser automático, no presencial y utilizar de manera intensiva las tecnologías digitales, para la producción y acceso a datos y contenidos que generen valor público para los ciudadanos y personas en general.

d. Gobernanza Digital.-

Es el conjunto de procesos, estructuras, herramientas y normas que nos permiten dirigir, evaluar y supervisar el uso y adopción de las tecnologías digitales en la organización.

e. Arquitectura Digital.-

Es el conjunto de componentes, lineamientos y estándares, que desde una perspectiva integral de la organización permiten alinear los sistemas de información, datos, seguridad e infraestructura tecnológica con la misión y objetivos estratégicos de la entidad, de tal manera que se promuevan la colaboración, interoperabilidad, escalabilidad, seguridad y el uso optimizado de las tecnologías digitales en un entorno de gobierno digital.

f. De la Identidad Digital.-

La identidad digital es aquel conjunto de atributos que individualiza y permite identificar a una persona en entornos digitales. Los atributos de la identidad digital son otorgados por distintas entidades de la Administración Pública que, en su conjunto, caracterizan al individuo.

Artículo 6.- Del Gobierno Digital.

Es el uso estratégico de tecnologías digitales y datos en la Administración Pública, como parte integral de las estrategias de modernización de los gobiernos para crear valor público.

El ecosistema de gobierno digital se encuentra compuesto por actores del sector público, sector privado, todos los niveles de gobierno y sociedad civil en general, quienes apoyan en la implementación de iniciativas y creación de servicios digitales.

El Gobierno Digital se fundamenta en los pilares de la gobernanza de datos, interoperabilidad y seguridad digital.

La Administración Pública del Estado ecuatoriano estará determinada por una real y eficiente gobernanza digital entendiéndose por aquélla al conjunto de procesos, estructuras, herramientas y normas que permiten dirigir, evaluar y supervisar el uso y adopción de las tecnologías digitales en la institucionalidad.

Artículo 7.- Atribuciones del ente rector de transformación digital.

El ente rector de la transformación digital tendrá las siguientes atribuciones:

a. Solicitar al Ministerio encargado de las Finanzas Públicas la asignación del presupuesto suficiente y necesario para la efectiva implementación y aplicación de la presente Ley.

b. Emitir políticas públicas, lineamientos, metodologías, regulaciones para la transformación digital, gobierno digital y evaluar su cumplimiento por parte de las entidades del sector público.

c. Coordinar la elaboración periódica de la “Agenda Digital Integral del Ecuador” orientada a los diversos sectores del país y a todos los niveles de gobierno y controlar su ejecución.

d. Promover el uso y la apropiación de las tecnologías digitales y de la información y comunicación en las actividades de las empresas, de la sociedad civil y de la academia para alcanzar los objetivos del país en la adopción de la transformación digital en sus procesos.

e. Aprobar los planes que, en función de lo dispuesto por el Reglamento a esta Ley, deban presentar los sujetos sometidos a su ámbito de aplicación, asociados a la “Agenda Digital Integral del Ecuador”.

f. Dar seguimiento al cumplimiento de las metas planteadas en la Agenda Digital Integral del Ecuador.

g. Proponer y promover reformas a cuerpos normativos a fin de impulsar la transformación digital.

h. Estructurar programas de capacitación para todos los servidores del sector público, los actores del sector privado, así como la ciudadanía en general, con el fin de mejorar sus habilidades digitales.

i. Establecer, disponer y evaluar el cumplimiento de planes de digitalización y automatización de trámites y procesos administrativos de las entidades del sector público.

j. Identificar, disponer y evaluar los trámites, servicios y procesos administrativos de las entidades del sector público que obligatoriamente deberán ser digitalizados y automatizados.

k. Brindar apoyo técnico a las entidades públicas en la gestión e implementación de tecnologías digitales.

l. Promover mecanismos que aseguren la identidad digital como pilar fundamental para la inclusión digital y la ciudadanía digital.

m. Promover la colaboración entre las entidades de la Administración Pública, así como la participación de ciudadanos y otros interesados para el desarrollo del gobierno digital y sociedad del conocimiento.

n. Emitir opinión previa a fin de validar técnicamente proyectos de tecnologías digitales de carácter transversal en materia de interoperabilidad, seguridad digital, identidad digital, datos, arquitectura digital o aquellos destinados a mejorar la prestación de servicios digitales.

o. Emitir las directrices y establecer los parámetros en materia de la seguridad de la información y ciberseguridad, que las entidades deberán observar en el establecimiento y ejecución de sus planes de transformación digital y monitorearlos a través del Centro de Respuestas o Incidentes de seguridad Informática, que será puesto en marcha y operado por el ente rector de la transformación digital.

Artículo 8.- Ambiente de pruebas regulatorio (Sandbox).

Es un mecanismo regulatorio provisional y de prueba, que no exime de las responsabilidades legales de quien accede al mecanismo provisional, que permita probar productos, servicios, soluciones, implementación de tecnologías emergentes inclusive con espectro licenciado o no licenciado, nuevos marcos regulatorios, pruebas de competencia en el mercado, comportamientos del mercado ante la desregulación, nuevos modelos de negocios, entre otros, bajo un conjunto de exenciones técnicas, económicas, tributarias y regulatorias por un periodo de tiempo no superior titles#a los 24 meses.

Con el fin de promover y atraer la inversión; así como mejorar la productividad en el país, el Ministerio rector de Industrias y Productividad emitirá lineamientos generales conforme las mejores prácticas internacionales dadas por organismos internacionales para esta figura, con el fin de que las autoridades competentes de regulación de cada sector emitan un marco regulatorio flexible, que determine dichas exenciones.

El Reglamento establecerá normas que regulen: los principios que rigen esta institución; requerimientos generales para la implementación y las medidas de protección al consumidor, el régimen de entrada y salida, parámetros para delimitar el alcance del marco regulatorio flexible y exenciones, parámetros para el otorgamiento y revocatoria de la autorización temporal de operación del producto o servicio en prueba, y, medidas mínimas que deberá tener en cuenta la autoridad sectorial competente al constituir el ambiente regulatorio de pruebas.

Artículo 9.- Destino de residuos digitales.

Con la finalidad de realizar un manejo ecológicamente responsable, el ente rector deberá desarrollar la reglamentación adecuada para establecer que la importación sea de tecnología nueva y que el destino de los desechos tecnológicos que han cumplido su vida útil tenga un manejo adecuado que procure que nuestro país no se convierta en un botadero de este tipo de desechos.

TÍTULO II.- DE LA IDENTIDAD DIGITAL

Artículo 10.- Marco de Identidad Digital.

El Marco de Identidad Digital está constituido por lineamientos, especificaciones, guías, directivas, estándares e infraestructura de tecnologías digitales, que permiten de manera efectiva la identificación y autenticación de los ciudadanos y personas en general cuando acceden a los servicios digitales.

Artículo 11.- Credencial de Identidad Digital.

Es la representación de una identidad digital que comprende los atributos inherentes a la persona definidos en el Marco de Identidad Digital, a fin de facilitar la autenticación digital.

Artículo 12.- Identificación Digital.

La identificación digital es el procedimiento de reconocimiento de una persona como distinta de otras en el entorno digital. Las entidades de la Administración Pública deben establecer los procedimientos para identificar a las personas que accedan a los servicios digitales.

Artículo 13.- Autenticación Digital.

La autenticación digital es el procedimiento de verificación de la identidad digital de una persona, mediante el cual se puede afirmar que es quien dice ser. Para el acceso a un servicio digital las entidades de la Administración Pública deben adoptar los mecanismos o procedimientos de autenticación digital, considerando los niveles de seguridad a establecerse en la norma reglamentaria.

Artículo 14.- Inclusión digital.

La inclusión digital es el acceso y uso de los servicios digitales por parte de los ciudadanos a través de su identidad digital, promoviendo la ciudadanía digital. Para tal fin las entidades de la Administración Pública adoptan las disposiciones que emite el ente rector para la prestación de dichos servicios.

TÍTULO III.- DE LA PRESTACIÓN DE SERVICIOS DIGITALES

Artículo 15.- Garantías para la prestación de servicios digitales.

Las entidades de la Administración Pública, de manera progresiva y cuando corresponda, deben garantizar a las personas el establecimiento y la prestación de los servicios digitales, comprendidos en el ámbito de aplicación de la presente Ley, debiendo para tal efecto:

1. Reconocer y aceptar el uso de la identidad digital de todas las personas según lo regulado en la presente Ley.

2. Garantizar la disponibilidad, integridad y confidencialidad de la información de los servicios digitales con la aplicación de los controles de seguridad que correspondan en la prestación de dichos servicios conforme a las disposiciones contenidas en la presente Ley y en la normatividad vigente sobre la materia.

3. Capacitar en temas en materia de firmas electrónicas, firmas y certificados digitales, protección de datos personales, interoperabilidad, arquitectura digital, seguridad digital, datos abiertos y gobierno digital.

4. Facilitar el acceso a la información requerida por otra entidad de la Administración Pública, sobre los datos de las personas que se encuentren en soporte electrónico, únicamente para el ejercicio de sus funciones en el ámbito de sus competencias. Queda excluida del intercambio la información que pueda afectar la seguridad nacional, la información personal o la prohibida por la Ley de Transparencia y Acceso a la Información Pública.

5. Implementar servicios digitales haciendo un análisis de la arquitectura digital y rediseño funcional.

6. Facilitar a las personas información detallada, concisa y entendible sobre las condiciones de tratamiento de sus datos personales.

7. Garantizar la conservación de las comunicaciones y documentos generados a través de canales digitales en las mismas o mejores condiciones que aquellas utilizadas por los medios tradicionales.

8. Garantizar que en el diseño y configuración de los servicios digitales se adoptan las medidas técnicas, organizativas y legales para la debida protección de datos personales y la confidencialidad de las comunicaciones.

Artículo 16.- Domicilio Digital.

Es uno de los atributos de la identidad digital que se constituye en el domicilio habitual de un ciudadano en el entorno digital, el cual es utilizado por las entidades de la Administración Pública para efectuar comunicaciones o notificaciones.

TÍTULO IV.- DE LA SEGURIDAD DIGITAL

Artículo 17.- De la Seguridad Digital.

La seguridad digital es el estado de confianza en el entorno digital que resulta de la gestión y aplicación de un conjunto de medidas proactivas y reactivas frente a los riesgos que afectan la seguridad de las personas, la prosperidad económica y social, la seguridad nacional y los objetivos nacionales en dicho entorno. Se sustenta en la articulación con actores del sector público, sector privado y otros quienes apoyan en la implementación de controles, acciones y medidas.

Artículo 18.- Marco de Seguridad Digital.

El Marco de Seguridad Digital se constituyen en el conjunto de principios, modelos, políticas, normas, procesos, roles, tecnología y estándares mínimos que permitan preservar la confidencialidad, integridad, disponibilidad de la información en el entorno digital administrado por las entidades de la Administración Pública.

Artículo 19.- Gestión del Marco de Seguridad Digital.

El Marco de Seguridad Digital del Estado se tienen que observar y cumplir con lo siguiente:

a. Defensa: El Ministerio de Defensa en el marco de sus funciones y competencias dirige, supervisa y evalúa las normas en materia de ciberdefensa.

b. Inteligencia: El Centro de Inteligencia Estratégica o la entidad que haga sus veces, como autoridad técnica normativa en el marco de sus funciones emite, supervisa y evalúa las normas en materia de inteligencia, contrainteligencia y seguridad digital en el ámbito de esta competencia.

c. Justicia: El Ministerio de la Mujer y Derechos Humanos, el Ministerio del Interior, la Policía Nacional, la Fiscalía General del Estado y la Corte Nacional de Justicia, en el marco de sus funciones y competencias dirigen, supervisan y evalúan las normas en materia de ciberdelincuencia.

d. Institucional: Las entidades de la Administración Pública deberán establecer, mantener y documentar un Sistema de Gestión de la Seguridad de la Información.

Artículo 20.- Articulación de la Seguridad Digital con la Seguridad de la Información.

El Marco de Seguridad Digital se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información. La Seguridad de la Información se enfoca en la información, de manera independiente de su formato y soporte. La seguridad digital se ocupa de las medidas de la seguridad de la información procesada, transmitida, almacenada o contenida en el entorno digital, procurando generar confianza, gestionando los riesgos que afecten la seguridad de las personas y la prosperidad económica y social en dicho entorno.

TÍTULO V.- CONSOLIDACIÓN DE LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL

Artículo 21.- Publicidad y transparencia de la administración pública.

Los diferentes órganos de la Asamblea Nacional, el pleno del Consejo de la Judicatura, el pleno de la Corte Nacional de Justicia, el pleno de la Corte Constitucional, el pleno del Consejo de Participación Ciudadana y Control Social, el pleno de la Función de Transparencia y Control Social, el pleno del Consejo Nacional Electoral y el pleno del Tribunal Contencioso Electoral deberán transmitir en vivo y en directo sus sesiones ordinarias y extraordinarias a través de los canales de comunicación oficiales de los nombrados organismos de la administración pública.

Únicamente en casos excepcionales tales como motivos de seguridad nacional o situaciones donde se vean involucrados derechos de niñas, niños y adolescentes, así como también controversias o negociaciones comerciales del Estado, el Pleno de los organismos prenombrados podrá declarar las sesiones con carácter reservado, para lo cual será necesario el voto de la mayoría calificada de sus integrantes.

La publicidad y transparencia de los organismos nombrados en el inciso anterior incluye la publicación de las convocatorias a sesiones ordinarias o extraordinarias a través de los canales de comunicación oficiales.

En el caso de los órganos jurisdiccionales de la Función Judicial, el Tribunal Contencioso Electoral y la Corte Constitucional, las audiencias también deberán ser de carácter público y al alcance de la conexión de la ciudadanía, salvo los casos en donde la ley expresamente reconozca reserva. Las y los juzgadores únicamente deberán solicitar del público que se registren como tales al momento de su conexión.

Artículo 22.- Implementación de la firma electrónica.

Los diferentes organismos de la administración pública, así como el sector privado, deberán implementar y aceptar dentro de sus diferentes procesos el uso de la firma electrónica por parte de los administrados.

Será a elección del administrado la utilización de su firma manuscrita en los diferentes procesos de la administración pública o del sector privado.

Artículo 23.- De los casilleros virtuales.

Los organismos del Estado bajo ningún concepto, ni aún bajo pretexto de escasez de recursos, podrán negar la recepción o exigir la presentación física de los documentos que hayan sido presentados con firma electrónica en los casilleros o ventanillas virtuales a su cargo.

TÍTULO VI.- DEL SECTOR AUDIOVISUAL

Artículo 24.- De la producción audiovisual.

Como parte de la transformación digital y fomento a la inversión y dinamización de actividades económicas, se establece como sector de interés nacional a la producción audiovisual incluyendo el desarrollo, preproducción, producción, postproducción y distribución de contenidos audiovisuales.

Artículo 25.- Régimen especial de exoneración.

A fin de promover la transformación digital, la importación de bienes que se requieran para la producción de obras audiovisuales que conste en el listado que apruebe el Comité de Comercio Exterior (COMEX) a recomendación del Instituto de Fomento a la Creatividad y la Innovación, IFCI, estará exenta de todo derecho arancelario, impuesto, gravamen, tasa o contribución en régimen de consumo o internación temporal. A fin de facilitar la importación, aplicará en este caso el procedimiento aplicable a aquellos sujetos pasivos que según su actividad económica, se dediquen a la producción audiovisual.

Artículo 26.- Exoneración del ISD. Se exonera de Impuesto a la Salida de Divisas los siguientes pagos al exterior que se realicen con el objeto de realizar producciones audiovisuales y actividades artísticas y culturales:

a. Importación de equipos y bienes destinados a la producción, promoción y difusión audiovisual local y extranjera en el Ecuador.

b. Pago de salarios, honorarios, remuneraciones o viáticos a personas naturales o jurídicas que tengan residencia fiscal en el extranjero, para que presten sus servicios en la producción audiovisual nacional y extranjera en el Ecuador.

El reglamento determinará el mecanismo de verificación de la actividad productiva conforme al presente artículo.

Artículo 27.- Exoneración de Impuesto a la Renta en pagos al exterior.

Los pagos al exterior que se realicen a personas naturales o jurídicas con residencia fiscal en el extranjero, por la prestación de servicios en la producción audiovisual nacional y extranjera en Ecuador, no estarán sujetos a retención en la fuente del impuesto a la renta, el cual los beneficiarios de estos pagos deberán acreditar con su respectivo certificado de su residencia fiscal, el cual deberá permanecer en custodia del beneficiario del servicio.

Artículo 28.- Exoneración del Impuesto al Valor Agregado.

Los servicios digitales que paguen el Impuesto al Valor Agregado que estén avalados por el Servicio de Rentas Internas pueden tener una exoneración de este impuesto en función de lo dispuesto por el Reglamento a esta Ley, siempre y cuando presten sus conocimientos, bienes o cualquier otra clase de apoyo técnico al desarrollo, preproducción, producción, postproducción y distribución en todas las etapas de su producción a los contenidos audiovisuales nacionales.

Artículo 29.- Certificado de Inversión Audiovisual.

Se crea el Certificado de Inversión Audiovisual (CIA) el cual será emitido por el SRI a favor de productoras nacionales y extranjeras por el 37% de los costos y gastos que incurran en el Ecuador en servicios audiovisuales y logísticos necesarios siempre que se encuentre soportados en comprobantes de venta válidos. El CIA es un título valor y podrá ser utilizado como crédito tributario de los impuestos administrados por el Servicio de Rentas Internas.

El ingreso por la transferencia del Certificado de Inversión Audiovisual obtenido por una persona natural o jurídica nacional o extranjera, no será gravable ni sujeto a retención en la fuente del impuesto a la renta en el Ecuador. El Ministerio de Economía y Finanzas imperativamente fijará en los dos últimos meses de cada año, el monto máximo de Certificados de Inversión Audiovisual que podrá otorgarse en el año calendario siguiente, el cual no podrá ser menor de 1000 fracciones básicas exentas de impuesto a la renta, con fundamento en el informe económico que reciba del Servicio de Rentas Internas sobre las condiciones del sector audiovisual, así como el monto mínimo de las inversiones requeridas en el país tanto para las producciones nacionales como para las extranjeras. En el Reglamento a esta Ley, se determinarán los requisitos de inversión, destinatarios y demás aspectos para su ejecución.

Artículo 30.- Incentivo al desarrollo del talento y la economía nacional.

Como un aporte de los sujetos pasivos del sector audiovisual que accedan a las exoneraciones y certificado de crédito tributario previsto en el presente título, en el marco de su responsabilidad social corporativa, y con la finalidad de incentivar y promover la participación local y nacional, así como el empleo de materiales, insumos, equipo y mano de obra de origen ecuatoriano, deberán en el desarrollo, preproducción, producción, postproducción y distribución de contenidos audiovisuales, en cuánto les fuera posible para la ejecución de sus proyectos, contratar proveedores de obras, bienes y servicios de origen local y nacional.

En las contrataciones se preferirá al oferente de bienes, obras o servicios que incorpore mayor componente de origen ecuatoriano o a los actores de la Economía Popular y Solidaria y Micro, Pequeñas y Medianas Empresas.

Artículo 31.-

La interculturalidad será un eje prioritario de la actividad audiovisual y los incentivos otorgados deberán considerar, entre uno de los factores, al involucramiento de pueblos y nacionalidades en la actividad audiovisual que se promueva.

TÍTULO VII.- EDUCACIÓN PARA LA TRANSFORMACIÓN DIGITAL

Artículo 32.-

Las instituciones públicas y privadas involucradas en procesos de Transformación Digital, deberán implementar planes y programas accesibles y gratuitos de formación y capacitación al usuario en el ámbito de desarrollo tecnológico a ser digitalizado, todos estos planes y programas, deberán ser diseñados en relación a la presente Ley. Dentro del proceso obligatorio de rendición de cuentas a cargo de cada entidad del Estado, deberá incluirse un segmento de Rendición de Cuentas en el ámbito de la Transformación Digital.

Artículo 33.- De la transformación digital de las mallas curriculares.

Las escuelas, colegios y universidades deberán determinar dentro de sus ofertas educativas los programas o materias que, por su naturaleza, puedan ser cursadas por los estudiantes de manera virtual, incluyendo su evaluación.

En el caso de las instituciones de educación superior públicas y privadas, de acuerdo a la naturaleza de la carrera o del programa de posgrado, deberán adecuar el desarrollo de sus programas de estudios al entorno virtual para elección del estudiante. El reglamento normará lo indicado en el presente artículo.

Las instituciones de educación superior públicas y privadas, deberán contar dentro de su planta docente con un mínimo de 5% de profesores contratados o titulares para ejercer labores académicas en modalidad virtual, sin perjuicio del lugar de su residencia, con el objetivo de contribuir al desarrollo del aprendizaje en línea, fomentar la internacionalización de la oferta académica, así como para promover el intercambio de experiencias y la integración de docentes dentro y fuera del país.

El Estado promoverá, además, la educación y la alfabetización digital en todos los niveles del Sistema Nacional de Educación, de tal manera que los estudiantes adquieran las habilidades y capacidades digitales necesarias para su adaptación a las nuevas tecnologías, en el marco de la transformación digital.

Para el efecto, el ente rector de transformación digital, en coordinación con el ente rector de educación, emitirá las políticas, planes, programas y proyectos que sean necesarios.

Se aplicarán los principios de calidad y calidez para la determinación de los programas o materias que, por su naturaleza, puedan ser cursadas por los estudiantes de manera virtual, incluyendo su evaluación.

Artículo 34.- Infocentros.

Los Gobiernos Autónomos Descentralizados en todos sus niveles, especialmente en la ruralidad, deberán implementar en sus dependencias un espacio destinado para un infocentro comunitario con acceso a internet libre y gratuito, con el fin de reducir la brecha digital.

LIBRO II.- REFORMAS A VARIOS CUERPOS LEGALES

TÍTULO I.- REFORMAS A LA LEY ORGÁNICA DE TELECOMUNICACIONES

Artículo 35.-

En el artículo 3 agregar como numeral 18 el siguiente texto:

“18. Fomentar el despliegue de redes comunitarias de telecomunicaciones en zonas urbano-marginales, rurales, fronterizas y prioritarias, así como garantizar el desarrollo de redes comunitarias de telecomunicaciones, para garantizar el acceso a las tecnologías de la información y comunicación que coadyuven a disminuir la brecha digital.”

Artículo 36.-

Sustitúyase el último inciso del artículo 9 por el siguiente texto:

“De acuerdo con su utilización las redes de telecomunicaciones se clasifican en:

a) Redes Públicas de Telecomunicaciones.

b) Redes Privadas de Telecomunicaciones.

c) Redes Comunitarias de Telecomunicaciones.”

Artículo 37.-

A continuación del artículo 13, incorpórese un artículo 13.1, con el siguiente texto:

“Artículo 13.1.- Redes comunitarias de telecomunicaciones.-

Las redes comunitarias son aquellas desplegadas y/o utilizadas por personas naturales o jurídicas públicas o privadas, sin fines de lucro, o por organizaciones de la economía popular y solidaria legalmente constituidas, que tienen el propósito de satisfacer las necesidades de servicios de telecomunicaciones propias de una o varias comunidades de conformidad a esta Ley.

Estas organizaciones auto provisionarán y auto gestionarán servicios de telecomunicaciones exclusivamente en zonas urbano-marginales, rurales, fronterizas y priorizadas que sean determinadas por el ente rector de las Telecomunicaciones y de la Sociedad de la Información.

Estas tenderán a un diseño de red abierta, sin protocolos ni especificaciones de tipo propietario y permitirá la interconexión, acceso y conexión con otras redes públicas. Su operación requiere de un registro realizado ante la Agencia de Regulación y Control de las Telecomunicaciones y en caso de requerir de uso de frecuencias del espectro radioeléctrico, del título habilitante respectivo.

La Agencia de Regulación y Control de las Telecomunicaciones regulará el establecimiento, garantizará la ciberseguridad y uso de redes comunitarias de telecomunicaciones; así como establecerá un régimen tarifario preferente.”

Artículo 38.-

En el primer inciso del artículo 51, incorporar como numeral 9 el siguiente texto:

“9. Redes comunitarias de telecomunicaciones.”

Artículo 39.-

Sustitúyase el último inciso del artículo 63 de la Ley Orgánica de Telecomunicaciones por el siguiente texto:

“Para favorecer el desarrollo del servicio universal y reducción de brecha digital, se regulará tarifas preferenciales que permitan el desarrollo económico de regiones, grupos sociales de atención prioritaria, y, de zonas rurales, urbano marginales y de frontera.”

Artículo 40.-

A continuación del artículo 88 de la Ley Orgánica de Telecomunicaciones incluir el siguiente:

“Artículo 88.1.- De la Sociedad de la Información y el Conocimiento.-

La Sociedad de la Información es aquella que a través de la transformación digital usa y se apropia de las telecomunicaciones y de las TIC, para mejorar la calidad de vida, la competitividad y el crecimiento económico.

El acceso y uso de las Tecnologías de la Información y Comunicaciones, el desarrollo de aplicaciones y contenidos digitales, la apropiación de nuevas tecnologías, el desarrollo de una cultura digital y proporcionar formación en tecnologías, son pilares de la consolidación de la Sociedad de la Información.

Todas las personas tienen el derecho a participar en la sociedad de la información. El Estado garantizará el acceso universal al servicio público de internet, de conformidad con la Constitución de la República.

La sociedad de la información y el conocimiento tendrá los siguientes fines:

a. Promover el uso y apropiación de las TIC;

b. Promover el desarrollo de contenidos y aplicaciones, y la prestación de servicios que usen Tecnologías de la Información y las Comunicaciones;

c. Promover políticas de competencia acordes a la era digital;

d. Incentivar y promover el desarrollo de la industria ecuatoriana de software y servicios TI para contribuir al crecimiento económico, la competitividad, la generación de empleo y las exportaciones;

e. Promover la transformación digital, con especial énfasis en los sectores de salud, educación y productividad; y,

f. Las entidades que forman parte del Gobierno Central deben dirigir sus actuaciones enfocadas al cumplimiento de los fines de la Sociedad de la Información.”

Artículo 41.-

Incluir la siguiente Disposición Transitoria en la Ley Orgánica de Telecomunicaciones:

“Se dispone la optimización de los recursos por contribución del Servicio Universal, dispuesto en el artículo 92 de la Ley Orgánica de Telecomunicaciones. Para el empleo de estos recursos, el ente rector de las telecomunicaciones establecerá la priorización de proyectos que permitan la ampliación de conectividad de servicios de telecomunicaciones y el cierre de la brecha digital en las zonas urbanomarginales, rurales y fronterizas. En caso de existir recursos excedentes, éstos podrán ser ejecutados por la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, quien establecerá los criterios técnicos a fin de destinar dicho excedente para el desarrollo del ámbito tecnológico.

Los criterios para la priorización de proyectos que permitan la ampliación de conectividad de servicios de telecomunicaciones y el cierre de la brecha digital en las zonas urbano- marginales, rurales y fronterizas, serán definidos por el Ministerio de Telecomunicaciones y Sociedad de la Información en el término de 60 días contados a partir de la expedición de la presente reforma a la Ley Orgánica de Telecomunicaciones.”

Artículo 42.-

Inclúyase después de la Disposición General Cuarta, la Disposición General Quinta, con el siguiente texto:

“Quinta.-

Las frecuencias del espectro radioeléctrico para uso de emergencia, y uso para fines humanitarios, que cumplan con los lineamientos dispuestos por el ente rector de telecomunicaciones, estarán exentos del pago de tarifas por asignación y uso del espectro radioeléctrico. La Agencia de Regulación y Control de las Telecomunicaciones reglamentará la explotación de estos servicios.”

TÍTULO II.- REFORMAS A LA LEY ORGÁNICA DE EDUCACIÓN INTERCULTURAL

Artículo 43.-

En el artículo 6 realizar las siguientes modificaciones:

1. Sustituir el literal j) por el siguiente texto:

“j) Garantizar el desarrollo de competencias digitales, así como el acceso y el uso de las tecnologías de la información y comunicación en todas las fases de la educación y formación, y en todos los segmentos de la población, a fin de propiciar el enlace de la enseñanza con las actividades productivas y sociales.”

2. A continuación del literal j) incorpórese como nuevo literal el siguiente texto:

“k) Incluir en los currículos de estudio, de manera progresiva, el desarrollo de competencias en ciencia, tecnología, ingeniería y matemáticas (CTIM) y adoptar medidas para su incorporación desde una edad temprana, como parte de una estrategia para el aprendizaje permanente.”

TÍTULO III.- REFORMAS A LA LEY ORGÁNICA DE EDUCACIÓN SUPERIOR

Artículo 44.-

En el artículo 8 incorporar un nuevo literal:

“m) Fortalecer la formación profesional en las nuevas tecnologías para afrontar los retos de la economía digital, identificando habilidades tecnológicas y adaptando las mallas curriculares de la educación superior de acuerdo al nivel de desarrollo de tecnologías digitales.”

TÍTULO IV.- REFORMAS AL CÓDIGO DE COMERCIO

Artículo 45.-

Reemplácese el artículo 78 por el siguiente:

“Artículo 78.- Los títulos valores, físicos, desmaterializados o electrónicos, son documentos que representan el derecho literal y autónomo que en ellos se incorpora, permitiendo a su titular o legítimo tenedor ejercitar el derecho mencionado en él. Pueden ser de distinta naturaleza dependiendo del derecho o bien que ellos aluden.

Los títulos valores, físicos, desmaterializados o electrónicos, circulan de la manera establecida en la ley.

Los documentos y los actos a que se refiere este título sólo producirán los efectos en él previstos cuando contengan las menciones y llenen los requisitos que la ley señale.”

Artículo 46.-

Reemplácese el artículo 79 por el siguiente:

“Artículo 79.-

El suscriptor, o la persona que firma un título valor, quedará obligado conforme al tenor literal del título valor, físico, desmaterializado o electrónico, a menos que firme con salvedades compatibles con su esencia.”

Artículo 47.-

En el artículo 80, eliminar el segundo inciso posterior al literal b, cuyo artículo quedaría redactado de la siguiente manera:

“Artículo 80.-

Además de lo dispuesto para cada título valor en particular, los títulos valores deberán tener los siguientes requisitos:

a) La mención del derecho que en el título se incorpora, con indicación del objeto en que consiste y de su valor. Si la obligación consiste en una cantidad de dinero y ésta devenga intereses, la indicación de estos, o el porcentaje del cupo, margen o descuento sobre el importe del título, de ser el caso. De no haberse señalado la tasa de interés a pagar y/u otra forma de fijar ganancias en el título, y si la obligación de pago se funda en un mutuo o préstamo de consumo, se entenderá que la obligación devenga la tasa máxima de interés legal vigente, publicada por el Banco Central del Ecuador o la institución que haga sus veces en el futuro; y, a partir de que se haya constituido al deudor en mora, la tasa máxima de mora que corresponderá al uno punto un (1.1) veces la tasa legal antes indicada; y,

b) La firma, autógrafa o electrónica, de quién lo crea.

c) La aceptación podrá expresarse de la manera en la que lo pacten las partes tales como: teléfonos celulares, token, OTP, firma certificada u otro tipo de dispositivos o aplicaciones tipo APP o web u otras que hayan sido habilitadas con tal objetivo por el emisor del título.

La firma podrá sustituirse, bajo la responsabilidad del creador del título, por un signo o contraseña inserto mecánicamente. Este signo o contraseña debe ser protocolizado en una notaría previo su utilización.

La falta de fecha de creación del título, y si la ley no dispone otra cosa, no lo anulará y hará presumir iuris tantum que fue emitido en la misma fecha de vencimiento.

La indicación de los intereses, bajo ningún concepto podrá superar la tasa máxima de interés legal vigente publicada por el Banco Central del Ecuador o la institución que haga sus veces en el futuro, o caso contrario dicha indicación se entenderá como no escrita, sin perjuicio de las responsabilidades penales y civiles que se desprenda de este hecho.”

Artículo 48.-

Reemplácese el artículo 85 por el siguiente:

Artículo 85.-

El título valor, físico, desmaterializado o electrónico, que cumpla los requisitos señalados en este Código adquiere eficacia a partir de su entrega al tenedor, salvo los casos de entrega realizada a terceros con finalidad de custodia o transporte.

Cuando el título se halle en poder de persona distinta del suscriptor se presumirá tal entrega.”

Artículo 49.-

Reemplácese el artículo 88 por el siguiente:

“Artículo 88.-

Cuando dos o más personas suscriban un título valor, físico, desmaterializado o electrónico, como giradores, otorgantes, emisores, endosantes, avalistas o fiadores, quedan obligados solidariamente a su pago. Los cedentes o quienes los transfieran, deberán limitar su responsabilidad mediante una leyenda que deberá constar en el mismo título o en una hoja adherida a éste o mediante cualquier medio gráfico, mecánico o electrónico; si no lo hicieran, responderán solidariamente del cumplimiento de la obligación que el título contiene.

Quien solucione o pague la obligación contenida en el título goza de los derechos que confiere la ley al codeudor solidario que paga respecto de los restantes codeudores.”

Artículo 50.-

Reemplácese el artículo 90 por el siguiente:

“Artículo 90.-

La reivindicación, el secuestro, o cualquier otra afectación o gravamen sobre los derechos consignados en un título valor, físico, desmaterializado o electrónico, o sobre las mercancías por él representadas, no surtirán efectos si no comprenden el título mismo materialmente.”

Artículo 51.-

Reemplácese el artículo 92 por el siguiente:

“Artículo 92.-

La fianza podrá constar en el título valor mismo, sea este físico, desmaterializado o electrónico o en hoja adherida a él o mediante cualquier medio gráfico, mecánico o electrónico. Podrá también, otorgarse por escrito separado en que se identifique plenamente el título cuyo pago total o parcial se garantiza. Se expresará con la fórmula por “fianza”, “aval” u otra equivalente y deberá llevar la firma de quien lo presta. La sola firma puesta en el título, cuando no se le pueda atribuir otra significación se tendrá como firma de avalista y con el carácter de deudor solidario.

Cuando el aval se otorgue en documento separado del título, la negociación de éste implicará la transferencia de la garantía que surge de aquel.”

Artículo 52.-

Reemplácese el artículo 95 por el siguiente:

“Artículo 95.- Si el título valor, físico, desmaterializado o electrónico, fuese emitido por más de una persona, la fianza o aval debe indicar la persona avalada. A falta de indicación quedarán garantizadas las obligaciones de todas y cada una de las partes en el título y la obligación será solidaria.”

Artículo 53.-

Reemplácese el artículo 96 por el siguiente:

“Artículo 96.- El fiador o avalista que pague adquiere los derechos derivados del título valor, físico, desmaterializado o electrónico, contra la persona garantizada y contra los que sean responsables respecto de esta última por virtud del título.”

Artículo 54.-

En el artículo 84, al final del penúltimo inciso, agréguese lo siguiente:

“Aquellos títulos valores desmaterializados o electrónicos que no se negocien en el mercado de valores, podrán utilizar cualquier tipo de tecnología y sistema tecnológico como forma probatoria de la existencia de los valores electrónicos o desmaterializados, conforme a los principios de neutralidad tecnológica, equivalencia funcional y autonomía de las partes.

Los títulos electrónicos emitidos por los bancos a través de la aceptación de cualquier medio calificado son distintos a los a los títulos desmaterializados.”

Artículo 55.-

En el artículo 109, luego de la frase:

“El endoso de títulos valores desmaterializados”, agréguese la frase: “negociables en el mercado de valores”.

Artículo 56.-

En el artículo 112 realícese los siguientes cambios:

a. Reemplácese el segundo inciso por el siguiente:

“En el caso de títulos valor electrónicos se seguirán las reglas del anterior inciso y las disposiciones sobre posesión en títulos valor contenidas en la Ley de Comercio Electrónico. Para aquellos títulos valores que se negocien en el mercado de valores seguirán las reglas de la Ley de Mercado de Valores y regulaciones conexas.”

b. Agréguese como tercer inciso lo siguiente:

“En el endoso, cesión, transmisión de derechos y de documentos, notificación o entrega de títulos electrónicos, se podrá utilizar medios electrónicos, telemáticos y firmas manuscritas o electrónicas.”

Artículo 57.-

A continuación del artículo 112, agréguese el siguiente artículo innumerado:

“Artículo (…).- Reconocimiento jurídico de los títulos valor electrónicos.- Se reconoce igual validez jurídica y efectos jurídicos a los títulos valor electrónicos respecto de los emitidos en papel, siempre que cumplan con los requisitos legales contenidos en el presente Código, la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su Reglamento, y demás normativa aplicable.

No se negarán efectos jurídicos, validez ni fuerza ejecutoria a un título valor por la sola razón de que esté en forma electrónica. Los títulos valor al portador no serán susceptibles de emitirse ni existir de manera electrónica.”

Artículo 58.-

Después del artículo 113, agréguese el siguiente artículo innumerado:

“Artículo (…).- La firma de quien cede o avala una letra de cambio podrá realizarse por medio de firma electrónica, la cual tendrá igual validez y se le reconocerán los mismos efectos jurídicos que a una firma manuscrita, de acuerdo con lo establecido en la ley.”

Artículo 59.-

Sustitúyase el artículo 126 por el siguiente:

“Artículo 126.- El endoso deberá constar en la letra de cambio o en un documento adherido a la misma, en físico o electrónico o anexo accesible mediante un enlace electrónico directo o mediante cualquier tecnología fiable. Deberá ser firmado física o electrónicamente por el endosante.

El endoso será válido aun cuando en él no se designe la persona a cuyo favor se haga, o cuando el endosante se hubiera limitado a poner su firma en el dorso de la letra o en una hoja adherida a la misma (endoso en blanco).”

Artículo 60.-

Después del artículo 189, agréguese el siguiente:

“Artículo (…).- La firma de quien suscribe, endosa, cede o avala un pagaré a la orden, podrá realizarse por medio de firma electrónica, la cual tendrá igual validez y se le reconocerán los mismos efectos jurídicos que a una firma manuscrita, de acuerdo con lo establecido en la ley.”

Artículo 61.-

Agréguese un segundo inciso en el artículo 272 con el siguiente texto:

“En la cesión o transmisión de derechos, obligaciones, contratos, deudas y documentos mercantiles, entrega de títulos y documentos, se podrá utilizar medios electrónicos o telemáticos y firmas manuscritas o electrónicas.”

TÍTULO V.- REFORMAS A LA LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS

Artículo 62.-

A continuación del artículo 11, añádase el siguiente artículo innumerado:

“Artículo (…).- La posesión en los títulos valor electrónicos.-

Cuando por ley se requiera o permita la posesión de un título valor, tal requisito se dará por cumplido respecto de los títulos valor electrónicos si se utiliza un método fiable:

1. Para determinar qué ese título valor electrónico está bajo el control exclusivo de una persona; y,

2. Para identificar a dicha persona como la persona que tiene el control sobre el título valor electrónico.

Cuando por ley se requiera o permita que se transfiera la posesión de un título valor, tal requisito se cumplirá con respecto de los títulos valor electrónicos mediante la transferencia del control del mismo.

En el caso de que se empleen sistemas para la gestión de los títulos valor electrónicos, como los basados en registros descentralizados, que identifiquen a la persona que ejerce el control empleando seudónimos o cualquier mecanismo que no sea directamente el nombre verdadero, esta forma de identificación, y la posibilidad de vincular el seudónimo al nombre verdadero, de ser necesario, permitirá cumplir el requisito de identificar a la persona que tiene el control conforme el numeral 2 del presente artículo. En el caso de que se utilice un seudónimo la persona que se encuentra en poder del título valor debe ser plenamente identificable.”

Artículo 63.-

Veracidad de la firma electrónica dentro de distintos tipos de procedimiento. La autoridad a cargo de la resolución de un proceso, cualquiera que sea su índole, en el caso de que tenga dudas fundamentadas al respecto de la veracidad de la firma electrónica contenida en un documento sometido a su consideración, deberá proceder a la verificación de la veracidad de la firma electrónica estampada en un documento electrónico.

Para el efecto, el ente rector en materia de telecomunicaciones dispondrá el software adecuado que utilizarán las autoridades con capacidad resolutoria para dar cumplimiento a lo previsto en este artículo. El ente regulador en materia de telecomunicaciones deberá fundamentar la determinación de cuál será el software adecuado a través de la aplicación del principio de neutralidad funcional de la tecnología y estándares y buenas prácticas internacionales.

TÍTULO VI.- REFORMAS A LA LEY NOTARIAL

Artículo 64.-

Sustitúyase el contenido del artículo 5 por el siguiente:

“Artículo 5.- Para el ejercicio de la función notarial, así como la prestación de su servicio, serán hábiles todos los días y horas del año.

Todos los servicios notariales serán prestados de manera física o telemática de conformidad con lo previsto en la ley; en el caso de prestación telemática, se realizará a través de medios compatibles con el sistema informático autorizado por el Consejo de la Judicatura. El Consejo de la Judicatura autorizará sistemas digitales cumpliendo con los principios de equivalencia funcional de la tecnología y neutralidad tecnológica y acatando las directrices emitidas por el Consejo de la Judicatura. Las y los solicitantes de servicios notariales expresarán formalmente la modalidad para la prestación del servicio.

Los servicios telemáticos serán prestados a través de videoconferencia u otro medio telemático compatible con el sistema informático autorizado por el Consejo de la Judicatura de acuerdo con la naturaleza del acto o contrato, debiendo encontrarse una de las partes en la circunscripción territorial del notario y, pudiendo las demás encontrarse en cualquier lugar. Si no fuere factible prestar el servicio notarial telemático y las partes no pudieren concurrir al despacho notarial, el notario podrá desplazarse a prestar su servicio fuera de su despacho en forma física, dentro de su circunscripción cantonal.”

Artículo 65.-

Suprímase el numeral 4 del artículo 18.2.

Artículo 66.-

Sustitúyase el numeral 6 del artículo 18.2 por el siguiente:

“6. Autenticación de firmas manuscritas puestas ante él o ella, en documentos que no sean escrituras públicas.”

Artículo 67.-

Inclúyase el siguiente inciso al final del artículo 22:

“Los protocolos digitales de las diligencias y actuaciones notariales telemáticas deberán contar con todas las medidas de ciberseguridad necesarias para garantizar la seguridad de la información que reposa en ellos, así como su confidencialidad, integridad y disponibilidad, incluyendo las garantías de protección de datos personales, de conformidad con la normativa vigente y las directrices que para el efecto emita el ente rector de transformación digital y otros organismos competentes.”

Artículo 68.-

Sustitúyase el inciso final del artículo 28 por el siguiente:

“En la prestación del servicio notarial telemático la notaría o el notario verificará el cumplimiento de las obligaciones previstas en el artículo 27 de esta Ley, priorizando al empleo de la tecnología, para garantizar los principios de celeridad, eficiencia, seguridad de la información y transparencia en el servicio.”

Artículo 69.- Suprímase el numeral 10 del artículo 29.

TÍTULO VII.- REFORMAS AL CÓDIGO ORGÁNICO GENERAL DE PROCESOS

Artículo 70.- Refórmese el artículo 4 con la siguiente redacción:

“La sustanciación de los procesos en todas las instancias, fases y diligencias se desarrollarán mediante el sistema oral, salvo los actos procesales que deben realizarse por escrito. Las audiencias también podrán realizarse por videoconferencia u otros medios telemáticos, la o el juzgador negará la comparecencia telemática de manera excepcional y únicamente cuando se justifique la imperiosa necesidad de que esta sea de manera personal.

La o el juzgador está obligado a justificar de manera motivada la negativa de la comparecencia telemática.”

Artículo 71.-

Refórmense los incisos segundo y cuarto del artículo 25 con los siguientes textos, respectivamente:

“Una vez citada la recusación se suspenderá la competencia del juez conforme al Código Orgánico General de Procesos y su citación será única y exclusivamente al correo institucional de la o el juzgador recusado, salvo cuando se fundamente en el retardo injustificado, en cuyo caso sólo se suspenderá la competencia cuando la recusación haya sido admitida.

Si la recusación se presenta contra todos los miembros de una sala o tribunal, la autoridad competente determinará a las o los juzgadores que deberán continuar con la causa principal. La citación también será única y exclusivamente al correo institucional de las o los juzgadores recusados.”

Artículo 72.-

Sustitúyase el artículo 53 por el siguiente:

“La citación es el acto por el cual se le hace conocer a la o al demandado, el contenido de la demanda o de la petición de una diligencia preparatoria y de las providencias recaídas en ellas. Se realizará en forma personal, mediante boletas físicas o electrónicas, o a través del medio de comunicación ordenado por la o el juzgador.

Si una parte manifiesta que conoce determinada petición o providencia o se refiere a ella en escrito o en acto del cual quede constancia en el proceso, se considerará citada o notificada en la fecha de presentación del escrito o en la del acto al que haya concurrido.

Toda citación será publicada de manera íntegra, esto es, con sus razones y actas de citación en el sistema automático de consultas de la página electrónica del Consejo de la Judicatura, a través de los medios electrónicos y tecnológicos de los que disponga la Función Judicial, en la que constará la forma de citación o los motivos por los cuales no se pudo efectuar dicha diligencia.

Si la o el actor ha proporcionado la dirección de correo electrónico de la o del demandado, la o el juzgador ordenará también que se le haga conocer a la o al demandado, por correo electrónico, el extracto de la demanda y del auto inicial, de lo cual, se dejará constancia en el sistema. Esto no sustituye a la citación oficial, salvo los casos previstos por este Código.”

Artículo 73.-

Agréguese continuación del artículo 55, el siguiente artículo:

“Artículo 55.1-

Citación por boletas en el domicilio electrónico.-

A las personas naturales o jurídicas que hayan pactado expresamente en un contrato un domicilio electrónico para citaciones se les citará en las direcciones de correo electrónico. La citación se realizará conforme las reglas de la citación telemática previstas a continuación del numeral 3 del tercer párrafo del artículo 55.

El actuario del despacho que proceda a la citación por boletas en el domicilio electrónico, procederá a dejar constancia de las boletas de citación y las razones de las mismas, so pena de las sanciones administrativas que correspondan.”

Artículo 74.-

Sustitúyase el artículo 55 por el siguiente:

“Citación por boletas y por boletas electrónicas.- Si no se encuentra personalmente a la o el demandado, se le citará por medio de tres boletas que se entregarán en días distintos y seguidos en su domicilio, residencia, lugar de trabajo o asiento principal de sus negocios a cualquier persona de la familia. Si no se encuentra a persona alguna a quien entregarlas, se fijarán en la puerta del lugar de habitación, de este particular el citador dejará constancia fotográfica adjunta a las actas de citación.

La citación por boletas a la o al representante legal de una persona jurídica se hará en el respectivo establecimiento, oficina o lugar de trabajo, en días y horas hábiles, entregándolas a uno de sus dependientes o empleados, previa constatación de que se encuentra activo. De no encontrarse persona alguna o no recibir respuesta en los lugares detallados en el presente inciso, el citador procederá a dejar las boletas de citación fijadas en la puerta o debajo de esta, o en un sitio de visible del establecimiento, para lo cual deberá fotografiar su diligencia y adjuntarla a sus actas de citación.

A quien no se les pueda encontrar personalmente o cuyo domicilio o residencia sea imposible determinar previo a citar por la prensa, se le podrá citar de forma telemática por boletas bajo las siguientes reglas:

1. A las personas naturales en el buzón electrónico ciudadano previsto por la ley, una vez que lo hayan abierto.

2. A los procuradores judiciales que hayan incluido un correo electrónico dentro del poder, siempre que la o el accionante acredite que el procurador judicial accionado cuenta con poder vigente y con capacidad para contestar demandas.

3. A las personas jurídicas sometidas al control de la Superintendencia de Compañías, Valores y Seguros; Superintendencia de Bancos; y, Superintendencia de Economía Popular y Solidaria, a través del correo electrónico que se encuentre registrado en el ente de control.

La citación telemática se realizará con el envío de tres boletas de citación al demandado, en tres días distintos y seguidos, desde la cuenta institucional del actuario de la judicatura. A la citación por correo electrónico se adjuntará la demanda o la petición de una diligencia preparatoria y las providencias recaídas en ellas. El actuario del despacho que proceda a la citación por boletas en el domicilio electrónico, procederá a dejar constancia de las boletas de citación y las razones de las mismas, bajo pena de las sanciones administrativas que correspondan. La constancia y certificación de haberse practicado la citación telemática será agregada al expediente.

Dicha constancia deberá incluir tanto los correos electrónicos enviados, así como la verificación de recepción o lectura. Para el cumplimiento de la citación telemática, no será necesaria la generación de exhortas, deprecatorios o comisiones.”

Artículo 75.-

Refórmese el artículo 115 con el siguiente texto:

“Es el medio informático en el cual se registran las actuaciones judiciales. En el expediente electrónico se deben almacenar las peticiones y documentos que las partes pretendan utilizar en el proceso y que será público en todo su contenido, salvo las excepciones previstas en las leyes.

Las reproducciones digitalizadas o escaneadas de documentos públicos o privados que se agreguen al expediente electrónico tienen la misma fuerza probatoria del original.

Los expedientes electrónicos deben estar protegidos por medio de sistemas de seguridad de acceso y almacenados en un medio que garantice la preservación e integridad de los datos.

El expediente electrónico contendrá lo siguiente:

1. Providencias judiciales dadas durante la prosecución del proceso.

2. Escritos y diligencias debidamente digitalizadas.

3. Actas de citación.

4. Actuaciones dadas en el marco de los artículos 116, 117, 118 y 119 de este Código.”

Artículo 76.- Sustitúyase el artículo 193 por el siguiente:

“Artículo 193.- Prueba documental.-

Es todo documento público o privado que recoja, contenga o represente algún hecho o declare, constituya o incorpore un derecho.

Se podrán desglosar los documentos sin perjuicio de que se vuelvan a presentar cuando sea requerido.

Cuando se trate de documentos electrónicos o desmaterializados, no se requerirá su materialización.”

Artículo 77.- Sustitúyase el artículo 194 por el siguiente:

Artículo 194.- Presentación de documentos.-

Los documentos públicos o privados se presentarán en originales o en copias.

Se considerarán copias las reproducciones del original, debidamente certificadas que se realicen por cualquier sistema.

Los documentos electrónicos o desmaterializados, no requerirán ser materializados para su validez.”

Artículo 78.-

Sustitúyase el artículo 196 por el siguiente:

Artículo 196.- Producción de la prueba documental en audiencia.-

Para la producción de la prueba documental en audiencia de juicio o única se procederá de la siguiente manera:

1. Los documentos se leerán y exhibirán públicamente en su parte pertinente. En el caso de los documentos electrónicos o desmaterializados, la exhibición se realizará por los medios tecnológicos idóneos. No será necesaria su materialización.

2. Los objetos se exhibirán públicamente.

3. Las fotografías, grabaciones, los elementos de pruebas audiovisuales, computacionales o cualquier otro de carácter electrónico apto para producir fe, se reproducirá también en su parte pertinente en la audiencia y por cualquier medio idóneo para su percepción por los asistentes.

4. La prueba documental actuada quedará en poder de la o del juzgador para tenerla a la vista al momento de tomar su decisión sobre el fondo del asunto, dejando a salvo la facultad de las partes de volver actuar o usarla durante la audiencia de juicio. Los documentos electrónicos o desmaterializados, se entregarán en los soportes tecnológicos idóneos.

Cuando la sentencia haya quedado firme, se ordenará su devolución a las partes, dejando a salvo su derecho a solicitar que los documentos agregados al proceso le sean desglosados dejando en el expediente copias certificadas, sean estas digitales o no.

Una vez que la sentencia haya sido ejecutada y digitalizados los documentos físicos agregados al proceso, se comunicará a las partes de su obligación de retirarlos, advirtiendo que en caso de no hacerlo en el término de treinta días, estos serán destruidos.”

Artículo 79.-

Reemplácese el contenido del artículo 347 por el siguiente:

“Artículo 347.- Títulos ejecutivos.-

Son títulos ejecutivos siempre que contengan obligaciones de dar o hacer:

1. Declaración de parte hecha con juramento ante una o un juzgador competente.

2. Copia y la compulsa auténticas de las escrituras públicas.

3. Documentos privados legalmente reconocidos ante notario, reconocidos por decisión judicial, o con firma electrónica verificada ante autoridad judicial.

4. Letras de cambio físicas, desmaterializadas y electrónicas.

5. Pagarés a la orden, físicos, desmaterializados y electrónicos.

6. Testamentos.

7. Transacción extrajudicial.

8. Contratos de mutuo, cuya aceptación de la voluntad se haya dado por medios físicos u electrónicos de conformidad con la normativa especial.

Los demás a los que otras leyes otorguen el carácter de títulos ejecutivos.”

Artículo 80.-

Reemplácese el numeral 10 del artículo 363 por el siguiente:

“10. La hipoteca, abierta o cerrada.”

Artículo 81.-

Agréguese a continuación del numeral 7 del artículo 373 el siguiente numeral:

“8. Excepción de existencia de convenio arbitral para los casos del artículo 363 numerales 3, 4, 6, 7 y 10.”

Artículo 82.-

Reemplácese el texto del artículo 405 por el siguiente:

“Artículo 405.- Retasa y embargo de otros bienes.-

En el caso en que no haya postores, la o el acreedor podrá solicitar las retasas que sean necesarias de los bienes embargados y se reanudará el proceso de remate con el nuevo avalúo o pedir que se embarguen y rematen otros bienes liberando los bienes anteriormente embargados.

Si el valor ofrecido al contado no alcanza a cubrir el crédito de la o del ejecutante o el de la o del tercerista, podrán pedir, a su arbitrio, que se rematen como créditos los dividendos a plazo.”

TÍTULO VIII.- REFORMAS A LA LEY DE REGISTRO

Artículo 83.-

Agréguese a continuación del literal g) del artículo 11, el siguiente:

“h) Desarrollar e implementar los sistemas informáticos que permitan la transformación a formato digital de todos los registros, certificados, inventarios y demás actos o constancias físicas que genere el Registro para lo cual deberá tomar en cuenta las características y condiciones que para dicha finalidad emita la Dirección Nacional de Registros Públicos (DINARP) como ente rector de la actividad registral. El sistema informático permitirá y promoverá la interconexión progresiva entre los distintos registros de la propiedad del país, que permita el acceso y consulta de los ciudadanos desde distintas jurisdicciones a una base de datos integrada, y se acompañará con un plan progresivo de digitalización para los cantones que no cuenten con los registros, certificados, inventarios, negocios jurídicos y demás actos o constancias digitalizadas.

Serán los Gobiernos Autónomos Descentralizados Municipales quienes deberán asignar los fondos necesarios para llevar a cabo este proceso en aquellos registros que no tengan autonomía financiera y administrativa.”

Artículo 84.-

Sustitúyase el literal c) del artículo 11, el siguiente artículo:

“c) Llevar, con sujeción a las disposiciones de esta Ley, los libros denominados Registro de Propiedad, Registro de Gravámenes, Registro Mercantil, Registro de Interdicciones y Prohibiciones de enajenar y los demás que determine la ley.

Los libros a cargo del Registrador podrán llevarse de forma electrónica y automatizada siempre que garanticen la seguridad jurídica, publicidad y la legalidad de los derechos constituidos en los actos, contratos y negocios jurídicos de las personas. Las bases de datos y los sistemas informáticos implementados estarán sujetos al control y auditoría del ente rector de la actividad registral.

Los registros digitales que se generen como consecuencia de la transformación a la que se refiere este literal, así como todos los registros digitales que existan al momento o que se generen en el futuro, deberán contar con todas las medidas de ciberseguridad necesarias para garantizar la seguridad de la información que reposa en ellos, así como su confidencialidad, integridad y disponibilidad, incluyendo las garantías de protección de datos personales, de conformidad con la normativa vigente y las directrices que para el efecto emita el ente rector de transformación digital y otros organismos competentes.”

Artículo 85.-

Agréguese en el artículo 18, el siguiente texto:

“El Libro Repertorio podrá llevarse de forma electrónica en aquellos Registros que implemente un proceso de digitalización y automatización de los trámites registrales a su cargo. Para lo cual el proceso electrónico de registro en este Libro debe llevarse con sujeción al presente artículo.”

Artículo 86.-

Agréguese a continuación del artículo 24, en el TÍTULO V, el siguiente artículo innumerado:

“Artículo (…).- Los registros de las inscripciones y el libro de índice general podrán llevarse de forma electrónica, para lo cual se tomarán en consideración y serán adaptados todos los procedimientos contemplados en la presente Ley para los registros físicos de los documentos.”

TÍTULO IX.- REFORMAS A LA LEY DE COMPAÑÍAS

Artículo 87.-

Reemplácese el artículo 6 por el siguiente:

“Artículo 6.- Toda compañía nacional o extranjera que negocie o contrajere obligaciones en el Ecuador deberá tener en la república un apoderado o representante que pueda contestar las demandas y cumplir las obligaciones respectivas.

Sin perjuicio de lo que se dispone en el artículo 415, si las actividades que una compañía extranjera va a ejercer en el Ecuador implicaren la ejecución de obras públicas, la prestación de servicios públicos o la explotación de recursos naturales del país, estará obligada a establecerse en él con arreglo a lo dispuesto en la Sección XIII de la presente Ley.

En los casos mencionados en el inciso anterior, las compañías u otras empresas extranjeras organizadas como personas jurídicas, deberán domiciliarse en el Ecuador antes de la celebración del contrato correspondiente. El incumplimiento de esta obligación determinará la nulidad del contrato respectivo.

Las compañías extranjeras, cuyos capitales sociales estuvieren representados únicamente por acciones o participaciones nominativas, que tuvieren acciones o participaciones en compañías ecuatorianas, pero que no ejercieren ninguna otra actividad empresarial en el país, ni habitual ni ocasionalmente, no serán consideradas con establecimientos permanentes en el país ni estarán obligadas a establecerse en el Ecuador con arreglo a lo dispuesto en la Sección XIII de la presente Ley, ni a inscribirse en el Registro Único de Contribuyentes ni a presentar declaraciones de impuesto a la renta, pero deberán tener en la república el apoderado, representante referido en el inciso primero de este artículo, o un curador dativo que será nombrado por un juez en caso de ser necesario, el que por ningún motivo será personalmente responsable de las obligaciones de la compañía extranjera antes mencionada. El poder del representante antedicho no deberá ni inscribirse ni publicarse por la prensa, pero sí deberá ser conocido por la compañía ecuatoriana en que la sociedad extranjera fuere socia o accionista.”

Artículo 88.-

Refórmese el artículo 188 de la siguiente manera:

“La transferencia de acciones comporta la cesión de todos los derechos y obligaciones inherentes a ellas.

La propiedad de las acciones se transfiere mediante cesión celebrada entre cedente y cesionario, fuere personalmente o por quienes los representaren. La transferencia de acciones podrá instrumentarse por escrito o por cualquier medio electrónico verificable que demuestre la voluntad del cedente y cesionario de transferir la propiedad de las acciones.

De efectuarse una cesión por escrito, la misma podrá hacerse constar en el título correspondiente o en una hoja adherida al mismo. En aquel caso, el cedente deberá entregar los títulos de acción correspondientes al cesionario.

Las transferencias de acciones, efectuadas por medios físicos o electrónicos, surtirán efectos entre el cedente y el cesionario a partir de su celebración, realizada de conformidad con lo previsto en este artículo. Por su parte, la tradición de dicha transferencia, así como su oponibilidad frente a la compañía y terceros, se efectuará a partir de la correspondiente inscripción en el Libro de Acciones y Accionistas, de acuerdo con el artículo siguiente.

Para los títulos que estuvieren entregados en custodia en un depósito centralizado de compensación y liquidación, la cesión podrá hacerse de conformidad con los mecanismos que se establezcan para tales depósitos centralizados.

El cedente, en una transferencia física o electrónica, podrá reservarse los beneficios económicos generados durante períodos anteriores a la cesión o los que se generen en el período económico en que se efectúe la transferencia. Esta reserva deberá constar expresamente en el respectivo contrato de cesión.

Será licita la celebración de un contrato de promesa de cesión de acciones, a través de medios físicos o electrónicos. En este caso, se observarán los requisitos exigidos por el Código Civil. El cónyuge a cuyo cargo está la administración ordinaria de los bienes sociales necesitará de la autorización expresa del otro cónyuge para realizar actos de disposición, limitación, constitución de gravámenes de las acciones y participaciones mercantiles que pertenezcan a la sociedad conyugal.

Serán nulas las transferencias realizadas con violación de lo que dispone el presente artículo sin que, por consiguiente, el cesionario pueda ejercer ninguno de los derechos que le otorga esta Ley al accionista.”

DISPOSICIONES GENERALES

PRIMERA.-

El Ministerio de Economía y Finanzas coordinará con el Consejo de la Judicatura para que, dentro de su asignación presupuestaria, se proceda a la plena implementación del expediente electrónico en el plazo de noventa (90) días contados desde la entrada en vigencia de esta Ley.

SEGUNDA.-

El Consejo de la Judicatura, dentro del marco de sus competencias y en apego a las disposiciones que rigen para la coordinación interinstitucional, deberá solicitar apoyo técnico a la Corte Constitucional para la plena implementación del expediente electrónico, bajo los parámetros definidos en esta Ley para dicha herramienta tecnológica.

TERCERA.-

Los procedimientos sustanciados a través del Código Orgánico Administrativo y de la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional, en lo que resulte aplicable, deberán observar las reformas establecidas en esta Ley al Código Orgánico General de Procesos.

DISPOSICIONES TRANSITORIAS

PRIMERA.-

En un plazo máximo de noventa (90) días contados desde la entrada en vigencia de esta Ley, el Consejo de la Judicatura deberá implementar los sistemas informáticos que sean necesarios para la correcta e inmediata aplicación de los expedientes electrónicos.

SEGUNDA.-

El Ministerio de Educación tendrá un plazo máximo de noventa (90) días contados desde la entrada en vigencia de esta Ley, para emitir o actualizar las normativas relacionadas al desarrollo virtual de las clases de escuelas y colegios.

TERCERA.-

El Consejo de Educación Superior tendrá un plazo máximo de noventa (90) días contados desde la entrada en vigencia de esta Ley, para emitir o actualizar las normativas relacionadas a lo previsto en la transformación digital de las mallas curriculares.

CUARTA.-

El Ministerio de Educación tendrá un plazo máximo de noventa (90) días contados desde la entrada en vigencia de esta Ley, para emitir o actualizar las normativas relacionadas al desarrollo virtual de las clases de escuelas y colegios.

QUINTA.-

El Presidente de la República, dentro de los noventa (90) días posteriores a la publicación de la presente Ley en el Registro Oficial, actualizará la normativa vigente, así como emitirá el Reglamento correspondiente, para viabilizar la aplicación de lo previsto en esta Ley.

SEXTA.-

En un plazo de ciento veinte (120) días posteriores a la publicación de la presente Ley en el Registro Oficial, el Ministerio de Telecomunicaciones deberá implementar el software adecuado que utilizarán las autoridades para la validación administrativa de firmas electrónicas. La referida contratación deberá basarse en el principio de neutralidad tecnológica, interoperabilidad y equivalencia funcional de la tecnología.

SÉPTIMA.-

En el plazo máximo de ciento ochenta (180) días posteriores a la publicación de la presente Ley en el Registro Oficial, se presentará ante el Pleno de la Asamblea Nacional, un informe detallado del seguimiento y evaluación de la presente Ley, así como de la Ley Orgánica para la Optimización y Eficiencia de Trámites Administrativos, producto de lo cual se resolverá conforme se estime conveniente.

OCTAVA.-

El monto de Certificados de Inversión Audiovisual que deberá otorgarse para el año 2023, será de al menos 1000 fracciones básicas exentas de impuesto a la renta.

DISPOSICIÓN FINAL

ÚNICA.-

La presente Ley tiene el carácter de especial, prevalecerá sobre otras leyes especiales y generales que se le opongan.

Las disposiciones de la presente Ley entrarán en vigencia a partir de la fecha de su publicación en el Registro Oficial, salvo lo previsto en las disposiciones transitorias.

Dada en la sede de la Asamblea Nacional, ubicada en el Distrito Metropolitano de Quito, provincia de Pichincha a los treintaiún días del mes de enero del año dos mil veintitrés.

DR. VIRGILIO SAQUICELA ESPINOZA, Presidente

ABG. ÁLVARO SALAZAR PAREDES, Secretario General

Firmado electrónicamente por: ALVARO RICARDO SALAZAR PAREDES

Firmado electrónicamente por: JAVIER VIRGILIO SAQUICELA ESPINOZA

Ing. Hugo Del Pozo Barrezueta, DIRECTOR

09Ago/24

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024

Parlamento Europeo y del Consejo, Reglamento, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) nº 910//2014 en lo que respecta al establecimiento del marco europeo de identidad digital. 

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) La Comunicación de la Comisión de 19 de febrero de 2020, titulada «Configurar el futuro digital de Europa», anuncia una revisión del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (4) para mejorar su eficacia, extender sus beneficios al sector privado y promover unas identidades digitales de confianza para todos los europeos.

(2) En sus Conclusiones de 1 y 2 de octubre de 2020, el Consejo Europeo instó a la Comisión a que presentara una propuesta relativa al desarrollo, a escala de la UE, de un marco para la identificación electrónica pública segura, en particular de las firmas digitales interoperables, de modo que los ciudadanos puedan tener el control de su identidad y sus datos en línea y se facilite el acceso a los servicios digitales públicos, privados y transfronterizos.

(3) El Programa Estratégico de la Década Digital para 2030, establecido por la Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo (5), fija los objetivos y las metas digitales de un marco de la Unión que, de aquí a 2030, deben dar lugar a la implantación generalizada de una identidad digital fiable, voluntaria y controlada por el usuario, reconocida en toda la Unión y que permita a todos los usuarios controlar sus datos en las interacciones en línea.

(4) La Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital, proclamada por el Parlamento Europeo, el Consejo y la Comisión (6) (en lo sucesivo, «Declaración»), subraya el derecho de todas las personas a acceder a tecnologías, productos y servicios digitales que sean seguros y protejan la privacidad desde el diseño. Esto incluye velar por que se ofrezca a todas las personas que viven en la Unión una identidad digital accesible, segura y fiable que permita acceder a una amplia gama de servicios en línea y fuera de línea, protegida contra los riesgos de ciberseguridad y los ciberdelitos, por ejemplo, la violación de la seguridad de los datos y la usurpación o la manipulación de identidad. En la Declaración también se afirma que toda persona tiene derecho a la protección de sus datos personales. Este derecho incluye el control de cómo se utilizan esos datos y con quién se comparten.

(5) Los ciudadanos de la Unión y los residentes en la Unión deben tener derecho a poseer una identidad digital que se mantenga bajo su control exclusivo y les permita ejercer sus derechos en el entorno digital y participar en la economía digital. Para alcanzar este objetivo, debe establecerse un marco europeo de identidad digital que permita a los ciudadanos de la Unión y los residentes en la Unión acceder a servicios públicos y privados en línea y fuera de línea en toda la Unión.

(6) Un marco de identidad digital armonizado debe contribuir a la creación de una Unión más integrada digitalmente al reducir los obstáculos digitales entre los Estados miembros y capacitar a los ciudadanos de la Unión y los residentes en la Unión para que disfruten de los beneficios de la digitalización, aumentando al mismo tiempo la transparencia y la protección de sus derechos.

(7) Un enfoque más armonizado en lo que respecta a la identificación electrónica debe reducir los riesgos y los costes asociados a la actual fragmentación derivada del uso de soluciones nacionales divergentes o, en algunos Estados miembros, a la ausencia de tales soluciones de identificación electrónica. Este enfoque debe reforzar el mercado interior al permitir que los ciudadanos de la Unión, los residentes en la Unión tal como se definen en el Derecho nacional y las empresas se identifiquen y proporcionen una autenticación de su identidad en línea y fuera de línea de manera segura, fiable, fácil de usar, cómoda, accesible y armonizada en toda la Unión. La cartera europea de identidad digital debe proporcionar a las personas físicas y jurídicas de la Unión un medio de identificación electrónica armonizado que permita autenticar y compartir datos relacionados con su identidad. Toda persona debe poder acceder de forma segura a servicios públicos y privados apoyándose en un ecosistema reforzado de servicios de confianza y en pruebas de identidad y declaraciones electrónicas de atributos verificadas, como cualificaciones académicas, por ejemplo, títulos universitarios u otros títulos profesionales o académicos. El marco europeo de identidad digital tiene por finalidad lograr un cambio que permita pasar de la utilización exclusiva de soluciones nacionales de identidad digital a la provisión de declaraciones electrónicas de atributos que sean válidas y estén legalmente reconocidas en toda la Unión. Los prestadores de declaraciones electrónicas de atributos deben beneficiarse de un conjunto de normas claras y uniformes, y las administraciones públicas deben poder confiar en los documentos electrónicos expedidos en un determinado formato.

(8) Varios Estados miembros han aplicado y emplean medios de identificación electrónica que son aceptados por prestadores de servicios en la Unión. Asimismo, se han realizado inversiones en soluciones tanto nacionales como transfronterizas atendiendo al Reglamento (UE) nº 910/2014, incluida la interoperabilidad de los sistemas de identificación electrónica notificados con arreglo a dicho Reglamento. Con el fin de garantizar la complementariedad y la rápida adopción de las carteras europeas de identidad digital por los usuarios existentes de los medios de identificación electrónica notificados, así como de reducir al mínimo las repercusiones sobre los prestadores de servicios existentes, se espera que las carteras europeas de identidad digital se beneficien de la experiencia adquirida con los medios de identificación electrónica existentes y de la infraestructura de los sistemas de identificación electrónica notificados implantada a escala nacional y de la Unión.

(9) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (7) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8) se aplican a todas las actividades de tratamiento de datos personales en virtud del Reglamento (UE) nº 910/2014. Las soluciones que forman parte del marco de interoperabilidad previsto en el presente Reglamento también cumplen dichas normas. El Derecho de la Unión en materia de protección de datos establece principios, como los de minimización de datos y limitación de finalidad, y obligaciones, como la protección de datos desde el diseño y por defecto.

(10) Con el fin de fomentar la competitividad de las empresas de la Unión, los prestadores de servicios tanto en línea como fuera de línea deben poder contar con soluciones de identidad digital reconocidas en toda la Unión, independientemente del Estado miembro en el que se proporcionen, de tal manera que se beneficien de un enfoque armonizado de la Unión en lo que respecta a la confianza, la seguridad y la interoperabilidad. Tanto los usuarios como los prestadores de servicios deben poder beneficiarse de que se confiera el mismo valor jurídico a las declaraciones electrónicas de atributos en toda la Unión. El objetivo de un marco armonizado para una identidad digital es crear valor económico al facilitar el acceso a bienes y servicios y reducir considerablemente los costes de explotación asociados a los procedimientos de identificación y autenticación electrónicas, por ejemplo, durante la incorporación de nuevos clientes, así como las posibilidades de que se cometan ciberdelitos, como la usurpación de identidad, el robo de datos y el fraude en línea, y, así, propiciar una mayor eficiencia y una transformación digital segura de las pymes de la Unión.

(11) Las carteras europeas de identidad digital deben facilitar la aplicación del principio de «solo una vez» y, de esta manera, reducir la carga administrativa que recae sobre los ciudadanos de la Unión y los residentes en la Unión, así como sobre las empresas de toda la Unión, y apoyar su movilidad transfronteriza, además de fomentar el desarrollo de servicios de administración electrónica interoperables en toda la Unión.

(12) El Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9) y la Directiva 2002/58/CE son aplicables al tratamiento de datos personales efectuado en aplicación del presente Reglamento. En consecuencia, el presente Reglamento debe establecer salvaguardas específicas para evitar que los proveedores de medios de identificación electrónica y declaraciones electrónicas de atributos combinen los datos personales obtenidos al prestar otros servicios con los datos personales tratados para prestar los servicios contemplados en el ámbito de aplicación del presente Reglamento. Se debe establecer una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de la cartera. El presente Reglamento no debe impedir a los proveedores de las carteras europeas de identidad digital aplicar medidas técnicas adicionales que contribuyan a la protección de los datos personales, como por ejemplo la separación física entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos en poder del proveedor. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, el presente Reglamento especifica la aplicación de los principios de limitación de finalidad, minimización de datos y protección de datos desde el diseño y por defecto.

(13) La función de panel común debe integrarse en el diseño de las carteras europeas de identidad digital, a fin de garantizar un mayor grado de transparencia, privacidad y control por parte de los usuarios de sus datos personales. Dicha función debe ofrecer una interfaz fácil y de uso sencillo con una visión general de todas las partes usuarias con las que el usuario comparte datos, incluidos los atributos, y el tipo de datos compartidos con cada parte usuaria. Debe permitir al usuario efectuar un seguimiento de todas las transacciones ejecutadas a través de la cartera europea de identidad digital con al menos los siguientes datos: la hora y la fecha de la transacción, la identificación de la contraparte, los datos personales solicitados y los datos compartidos. Tal información debe almacenarse aun cuando la transacción no se haya concluido. No debe ser posible repudiar la autenticidad de la información contenida en el historial de transacciones. Tal función debe estar activada por defecto. Debe permitir al usuario solicitar fácilmente a una parte usuaria que suprima inmediatamente datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679 y denunciar fácilmente a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud presuntamente ilícita o sospechosa de datos personales directamente a través de la cartera europea de identidad digital.

(14) Los Estados miembros deben integrar en la cartera europea de identidad digital distintas tecnologías de protección de la privacidad, como la prueba de conocimiento cero. Estos métodos criptográficos deben permitir que una parte usuaria valide si una declaración dada basada en los datos de identificación y la declaración de atributos de la persona es verdadera sin revelar ningún dato en que se base dicha declaración, preservando así la privacidad del usuario.

(15) El presente Reglamento define las condiciones armonizadas de cara al establecimiento de un marco para las carteras europeas de identidad digital que deben proporcionar los Estados miembros. Todos los ciudadanos de la Unión, y los residentes en la Unión tal como se definen en el Derecho nacional, deben estar facultados para solicitar, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos relacionados con su identidad y solicitar la supresión de sus datos personales de una manera sencilla y cómoda que esté bajo el control exclusivo del usuario y permita al mismo tiempo la divulgación selectiva de datos personales. El presente Reglamento refleja los valores europeos comunes y respeta los derechos fundamentales, las garantías jurídicas y la responsabilidad y, para así proteger las sociedades democráticas, los ciudadanos de la Unión y los residentes en la Unión. Deben desarrollarse tecnologías que permitan lograr estos objetivos y que aspiren al máximo nivel de seguridad, privacidad, comodidad de uso y accesibilidad, garantizando asimismo una elevada facilidad de utilización y una interoperabilidad fluida. Los Estados miembros deben garantizar la igualdad de acceso a la identificación electrónica para todos sus ciudadanos y residentes. Los Estados miembros no deben limitar, directa o indirectamente, el acceso a los servicios públicos o privados a personas físicas o jurídicas que no opten por utilizar carteras europeas de identidad digital y deben facilitar otras soluciones adecuadas.

(16) Los Estados miembros deben aprovechar las posibilidades que ofrece el presente Reglamento para proporcionar, bajo su responsabilidad, carteras europeas de identidad digital, para su uso, a las personas físicas y jurídicas que residan en su territorio. A fin de ofrecer flexibilidad a los Estados miembros y aprovechar las tecnologías más avanzadas, el presente Reglamento debe permitir el suministro de carteras europeas de identidad digital directamente por un Estado miembro, en virtud de un mandato de un Estado miembro, o independientemente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

(17) A efectos del registro, las partes usuarias deben facilitar la información necesaria para permitir su identificación y autenticación electrónicas en las carteras europeas de identidad digital. Al declarar el uso que pretenden hacer de la cartera europea de identidad digital, las partes usuarias deben facilitar información sobre los datos que solicitarán, en su caso, para prestar sus servicios, así como el motivo de la solicitud. El registro de las partes usuarias facilita las verificaciones por parte de los Estados miembros por lo que respecta a la legalidad de las actividades de las partes usuarias de conformidad con el Derecho de la Unión. La obligación de registro prevista en el presente Reglamento debe entenderse sin perjuicio de las obligaciones establecidas en el Derecho de la Unión o nacional, como la información que debe facilitarse a los interesados en virtud del Reglamento (UE) 2016/679. Las partes usuarias deben cumplir las garantías ofrecidas por los artículos 35 y 36 de dicho Reglamento, en particular realizando evaluaciones de impacto relativas a la protección de datos y consultando a las autoridades competentes en materia de protección de datos antes del tratamiento de datos en los casos en que las evaluaciones de impacto relativas a la protección de datos indiquen que el tratamiento daría lugar a un riesgo elevado. Dichas garantías deben apoyar el tratamiento lícito de datos personales por las partes usuarias, en particular por lo que respecta a las categorías especiales de datos personales, como los datos relativos a la salud. El registro de las partes usuarias tiene por objeto aumentar la transparencia y la confianza en el uso de las carteras europeas de identidad digital. El registro debe tener un coste razonable y proporcionado a los riesgos conexos, a fin de garantizar la aceptación por parte de los prestadores de servicios. En este contexto, el registro debe ofrecer la posibilidad de utilizar procedimientos automáticos, en particular de que los Estados miembros recurran a registros existentes y los utilicen, y no debe conllevar un proceso de autorización previa. El proceso de registro debe permitir diversos casos de uso que pueden presentar diferencias en cuanto al modo de operación, ya sea en línea o fuera de línea, o en lo que respecta al requisito de autenticar los dispositivos con el objetivo de interactuar con la cartera europea de identidad digital. El registro debe aplicarse exclusivamente a las partes usuarias que presten servicios mediante una interacción digital.

(18) A fin de que se confíe en las carteras europeas de identidad digital y de que estas carteras se adopten ampliamente, es muy importante proteger a los ciudadanos de la Unión y los residentes en la Unión frente al uso no autorizado o fraudulento de las carteras europeas de identidad digital. Debe ofrecerse a los usuarios una protección eficaz contra este uso indebido. En particular, cuando una autoridad judicial nacional establezca, en el contexto de otro procedimiento, hechos que constituyan la base de un uso fraudulento o ilegal de una cartera europea de identidad digital, los organismos de supervisión responsables de los emisores de carteras europeas de identidad digital deben adoptar, tras la notificación, las medidas necesarias para garantizar la retirada o la suspensión del registro de la parte usuaria y de la inclusión de las partes usuarias en el mecanismo de autenticación hasta que la autoridad notificante confirme que las irregularidades detectadas se han subsanado.

(19) Todas las carteras europeas de identidad digital deben permitir a los usuarios identificarse y autenticarse electrónicamente de forma transfronteriza, tanto en línea como en modo fuera de línea, para acceder a una amplia gama de servicios públicos y privados. Sin perjuicio de las prerrogativas de los Estados miembros en lo que respecta a la identificación de sus ciudadanos y residentes, las carteras europeas de identidad digital también pueden dar respuesta a las necesidades institucionales de las administraciones públicas, las organizaciones internacionales y las instituciones, órganos y organismos de la Unión. La autenticación en modo fuera de línea será importante en numerosos sectores, especialmente el sanitario, en el que los servicios se prestan a menudo mediante una interacción presencial, y las recetas electrónicas deben poder utilizar códigos QR o tecnologías similares para verificar su autenticidad. Basándose en el nivel de seguridad alto por lo que respecta a los sistemas de identificación electrónica, las carteras europeas de identidad digital deben beneficiarse del potencial que ofrecen las soluciones inalterables, como las medidas de protección, para cumplir los requisitos de seguridad previstos en el presente Reglamento. Asimismo, las carteras europeas de identidad digital deben permitir a los usuarios crear y utilizar firmas y sellos electrónicos cualificados que se acepten en toda la Unión. Una vez incorporadas a una cartera europea de identidad digital, las personas físicas deben poder utilizarla para firmar con firmas electrónicas cualificadas, por defecto y de forma gratuita, sin tener que seguir ningún otro procedimiento administrativo. Los usuarios deben poder firmar o sellar declaraciones personales o atributos autodeclarados. En aras de la simplificación y la reducción de costes en beneficio de las personas y empresas de toda la Unión, en particular mediante la posibilidad de otorgar poderes de representación y mandatos electrónicos, los Estados miembros deben proporcionar carteras europeas de identidad digital que utilicen normas y especificaciones técnicas comunes para garantizar una interoperabilidad fluida y elevar adecuadamente el nivel de seguridad informática, reforzar la solidez frente a los ciberataques y, de este modo, reducir considerablemente los riesgos que entraña la digitalización en curso para los ciudadanos de la Unión, los residentes en la Unión y las empresas. Las autoridades competentes de los Estados miembros son las únicas que pueden proporcionar un nivel de confianza alto en la determinación de la identidad de una persona y, por lo tanto, ofrecer garantías de que la persona que afirma o manifiesta poseer una determinada identidad es, de hecho, quien dice ser. Por lo tanto, para la provisión de carteras europeas de identidad digital, es necesario basarse en la identidad legal de los ciudadanos de la Unión, los residentes en la Unión o las personas jurídicas. La utilización de la identidad legal no debe impedir que los usuarios de carteras europeas de identidad digital accedan a servicios mediante un seudónimo cuando no exista una obligación jurídica de utilizar la identidad legal para la autenticación. La confianza en las carteras europeas de identidad digital aumentaría si se impusiera a las partes emisoras y gestoras el deber de introducir medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad más elevado que sea proporcional a los riesgos planteados para los derechos y libertades de las personas físicas, de conformidad con el Reglamento (UE) 2016/679.

(20) El uso de una firma electrónica cualificada debe ser gratuito para todas las personas físicas con fines no profesionales. Los Estados miembros deben tener la posibilidad de establecer medidas para impedir el uso gratuito de firmas electrónicas cualificadas con fines profesionales por parte de personas físicas, garantizando al mismo tiempo que tales medidas sean proporcionadas a los riesgos detectados y estén justificadas.

(21) Resulta beneficioso facilitar la implantación y la utilización de carteras europeas de identidad digital mediante su integración sin dificultades en el ecosistema de servicios públicos y privados ya vigente a escala nacional, local o regional. A fin de alcanzar este objetivo, los Estados miembros deben tener la posibilidad de establecer medidas jurídicas y organizativas que mejoren la flexibilidad para los proveedores de carteras europeas de identidad digital y que hagan posibles otras funcionalidades de las carteras europeas de identidad digital aparte de las establecidas en el presente Reglamento, en particular mediante un refuerzo de la interoperabilidad con los medios nacionales de identificación electrónica existentes. Tales funcionalidades adicionales no deben en ningún caso ir en detrimento de la prestación de las funciones esenciales de las carteras europeas de identidad digital establecidas en el presente Reglamento, ni promover soluciones nacionales existentes en lugar de las carteras europeas de identidad digital. Tales funcionalidades adicionales exceden el ámbito de aplicación del presente Reglamento, y por ello no se benefician de las disposiciones sobre el uso transfronterizo de las carteras europeas de identidad digital que figuran en el presente Reglamento.

(22) Las carteras europeas de identidad digital deben incluir una funcionalidad para generar seudónimos elegidos y gestionados por el usuario con fines de autenticación a la hora de acceder a servicios en línea.

(23) Para lograr un nivel de seguridad y fiabilidad alto, el presente Reglamento establece los requisitos que deben satisfacer las carteras europeas de identidad digital. La acreditación de la conformidad de las carteras europeas de identidad digital con estos requisitos corresponderá a organismos acreditados de evaluación de la conformidad designados por los Estados miembros.

(24) A fin de evitar enfoques divergentes y armonizar la aplicación de los requisitos establecidos en el presente Reglamento, la Comisión debe, a fin de certificar las carteras europeas de identidad digital, adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos con el fin de establecer especificaciones técnicas detalladas para dichos requisitos. En la medida en que la certificación de la conformidad de las carteras europeas de identidad digital con los requisitos de ciberseguridad pertinentes no está cubierta por los esquemas de certificación de la ciberseguridad existentes a que se refiere el presente Reglamento, y en lo que respecta a los requisitos no relacionados con la ciberseguridad pertinentes para las carteras europeas de identidad digital, los Estados miembros deben establecer esquemas nacionales de certificación con arreglo a los requisitos armonizados establecidos en el presente Reglamento y adoptados en virtud de este. Los Estados miembros deben transmitir sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea, que debe estar facultado para emitir dictámenes y recomendaciones.

(25) La certificación de la conformidad con los requisitos de ciberseguridad establecidos en el presente Reglamento debe basarse, cuando estén disponibles, en los esquemas europeos de certificación de la ciberseguridad pertinentes establecidos en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (10), que establece un marco europeo voluntario de certificación de la ciberseguridad para los productos, procesos y servicios de TIC.

(26) Con el fin de evaluar y mitigar continuamente los riesgos relacionados con la seguridad, las carteras europeas de identidad digital certificadas deben ser objeto de evaluaciones periódicas de las vulnerabilidades encaminadas a detectar cualquier vulnerabilidad en los componentes relacionados con los productos, procesos y servicios certificados de la cartera europea de identidad digital.

(27) Al proteger a los usuarios y a las empresas de los riesgos de ciberseguridad, los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento también contribuyen a mejorar la protección de los datos personales y la privacidad de las personas. Deben tenerse en cuenta las sinergias tanto en materia de normalización como de certificación en los aspectos relativos a la ciberseguridad a través de la cooperación entre la Comisión, las organizaciones europeas de normalización, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Comité Europeo de Protección de Datos creado por el Reglamento (UE) 2016/679 y las autoridades nacionales de supervisión de la protección de datos.

(28) Debe facilitarse la incorporación de los ciudadanos de la Unión y los residentes en la Unión a la cartera europea de identidad digital mediante la utilización de medios de identificación electrónica expedidos a un nivel de seguridad alto. Solo se debe recurrir a los medios de identificación electrónica expedidos a un nivel de seguridad sustancial cuando las especificaciones y procedimientos técnicos armonizados que empleen medios de identificación electrónica expedidos a un nivel de seguridad sustancial en combinación con medios complementarios de verificación de la identidad permitan el cumplimiento de los requisitos establecidos en el presente Reglamento en relación con el nivel de seguridad alto. Tales medios complementarios deben ser fiables y fáciles de utilizar, y se pueden desarrollar teniendo en cuenta la posibilidad de emplear procedimientos de incorporación a distancia, certificados cualificados sustentados en firmas electrónicas cualificadas, declaraciones electrónicas cualificadas de atributos o una combinación de estos. Para garantizar una implantación suficiente de las carteras europeas de identidad digital, deben establecerse, mediante actos de ejecución, especificaciones y procedimientos técnicos armonizados para la incorporación de los usuarios por medios de identificación electrónica, en particular aquellos expedidos a un nivel de seguridad sustancial.

(29) El objetivo del presente Reglamento consiste en proporcionar al usuario una cartera europea de identidad digital que sea completamente portátil, segura y fácil de utilizar. Como medida transitoria hasta que estén disponibles soluciones certificadas inalterables —por ejemplo, medidas de protección dentro de los dispositivos de los usuarios—, las carteras europeas de identidad digital deben poder emplear bien medidas de protección externas certificadas para proteger el material criptográfico y otros datos sensibles, bien medios de identificación electrónica notificados con un nivel de seguridad alto para demostrar el cumplimiento de los requisitos pertinentes del presente Reglamento en lo que respecta al nivel de seguridad de la cartera europea de identidad digital. El presente Reglamento se entiende sin perjuicio de las condiciones nacionales por lo que respecta a la expedición y utilización de una medida de protección externa certificada en caso de que esta medida transitoria las necesite.

(30) Las carteras europeas de identidad digital deben garantizar el máximo nivel de protección de datos y de seguridad a efectos de identificación y autenticación electrónicas para facilitar el acceso a los servicios públicos y privados, con independencia de que dichos datos se almacenen de forma local o mediante soluciones en la nube, teniendo debidamente en cuenta los diferentes niveles de riesgo.

(31) Las carteras europeas de identidad digital deben ser seguras desde el diseño y deben aplicar características de seguridad avanzadas para proteger contra la usurpación de identidad, el robo de datos, la denegación de servicio y cualquier otra ciberamenaza. Dichas medidas de seguridad deben incluir métodos de cifrado y almacenamiento de última generación que solo sean accesibles al usuario y descifrables por este, y basados en una comunicación cifrada de extremo a extremo con otras carteras europeas de identidad digital y las partes usuarias. Además, las carteras europeas de identidad digital deben requerir la confirmación segura, explícita y activa del usuario para las operaciones realizadas a través de dichas carteras.

(32) El uso gratuito de las carteras europeas de identidad digital no debe dar lugar a que el tratamiento de datos exceda lo necesario para la prestación de servicios de carteras europeas de identidad digital. El presente Reglamento no debe permitir el tratamiento de datos personales almacenados o que se deriven del uso de la cartera europea de identidad digital por el proveedor de esta con fines distintos a la prestación de servicios de cartera europea de identidad digital. Para garantizar la privacidad, los proveedores de carteras europeas de identidad digital deben garantizar la falta de observabilidad no recopilando datos y no pudiendo ver la información de las transacciones de los usuarios de la cartera europea de identidad digital. Dicha falta de observabilidad significa que los proveedores no pueden ver los detalles de las transacciones realizadas por el usuario. No obstante, en casos específicos, sobre la base del consentimiento explícito previo del usuario para cada uno de dichos casos específicos, y de plena conformidad con el Reglamento (UE) 2016/679, se puede conceder acceso a los proveedores de carteras europeas de identidad digital a la información necesaria para la prestación de un servicio concreto relacionado con las carteras europeas de identidad digital.

(33) La transparencia de las carteras europeas de identidad digital y la responsabilidad de sus proveedores son elementos clave para fomentar la confianza social y activar la aceptación del marco. Por tanto, el funcionamiento de las carteras europeas de identidad digital debe ser transparente y, en concreto, permitir un tratamiento verificable de los datos personales. Para lograrlo, los Estados miembros deben revelar el código fuente de los componentes de programas informáticos de las aplicaciones de usuario de las carteras europeas de identidad digital, incluidos los relacionados con el tratamiento de los datos personales y los datos de personas jurídicas. La publicación de este código fuente con una licencia de código abierto debe permitir a la sociedad, incluidos los usuarios y desarrolladores, comprender su funcionamiento y auditar y revisar el código. Esto aumentará la confianza de los usuarios en el ecosistema y contribuirá a la seguridad de las carteras europeas de identidad digital, al permitir que cualquier persona denuncie vulnerabilidades y errores en el código. En general, esto debe ser un incentivo para que los proveedores ofrezcan y mantengan un producto con un nivel de seguridad elevado. Sin embargo, en determinados casos, por razones debidamente justificadas, en especial con fines de seguridad pública, los Estados miembros pueden limitar la divulgación del código fuente de las librerías usadas, el canal de comunicación u otros elementos que no estén alojados en el dispositivo del usuario.

(34) El uso de las carteras europeas de identidad digital, así como la interrupción de su uso, debe ser un derecho y una opción exclusivos de los usuarios. Los Estados miembros deben desarrollar procedimientos sencillos y seguros para que los usuarios soliciten la revocación inmediata de la validez de las carteras europeas de identidad digital, también en el caso de pérdida o robo. En caso de fallecimiento del usuario o de cese de la actividad de una persona jurídica, debe establecerse un mecanismo que permita a la autoridad responsable de liquidar la sucesión de la persona física o los bienes de la persona jurídica solicitar la revocación inmediata de las carteras europeas de identidad digital.

(35) Con el fin de promover la adopción de las carteras europeas de identidad digital y un uso más extendido de las identidades digitales, los Estados miembros no solo deben promover los beneficios de los servicios pertinentes, sino también, en cooperación con el sector privado, los investigadores y el mundo académico, desarrollar programas de formación destinados a reforzar las capacidades digitales de sus ciudadanos y residentes, en particular en lo relativo a los grupos vulnerables, como las personas con discapacidad y las personas de edad avanzada. Los Estados miembros deben sensibilizar acerca de las ventajas y los riesgos de las carteras europeas de identidad digital mediante campañas de comunicación.

(36) Con el objetivo de garantizar que el marco europeo de identidad digital esté abierto a la innovación y al desarrollo tecnológico y ofrezca garantías ante el futuro, se alienta a los Estados miembros, conjuntamente, a que establezcan entornos de pruebas para experimentar con soluciones innovadoras en un entorno controlado y seguro, en particular para mejorar la funcionalidad, la protección de los datos personales, la seguridad y la interoperabilidad de las soluciones, así como para obtener información útil de cara a futuras actualizaciones de las referencias técnicas y los requisitos legales. Este entorno debe fomentar la inclusión de las pymes, las empresas emergentes y los innovadores e investigadores individuales, así como de las partes interesadas industriales pertinentes. Dichas iniciativas deben apoyar y reforzar el cumplimiento normativo y la solidez técnica de las carteras europeas de identidad digital que se proporcionará a los ciudadanos de la Unión y los residentes en la Unión, evitando así el desarrollo de soluciones que no cumplan el Derecho de la Unión en materia de protección de datos o que estén abiertas a vulnerabilidades de seguridad.

(37) El Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo (11) refuerza la seguridad de los documentos de identidad con la introducción de características de seguridad reforzadas a más tardar en agosto de 2021. Los Estados miembros deben analizar la viabilidad de notificar estos documentos en el marco de los sistemas de identificación electrónica para ampliar la disponibilidad transfronteriza de medios de identificación electrónica.

(38) Es necesario simplificar y agilizar el proceso de notificación de los sistemas de identificación electrónica para favorecer el acceso a soluciones de autenticación e identificación cómodas, seguras, innovadoras y de confianza y, cuando proceda, alentar a los proveedores de identidades privados a que ofrezcan sistemas de identificación electrónica a las autoridades de los Estados miembros con fines de notificación, como los sistemas nacionales de identificación electrónica contemplados en el Reglamento (UE) nº 910/2014.

(39) La racionalización de los procedimientos de notificación y revisión inter pares vigentes evitará la heterogeneidad de enfoques con respecto a la evaluación de los diversos sistemas de identificación electrónica notificados y facilitará la instauración de confianza entre los Estados miembros. Los mecanismos nuevos y más sencillos están destinados a estimular la cooperación de los Estados miembros en materia de seguridad e interoperabilidad de sus sistemas de identificación electrónica notificados.

(40) Los Estados miembros deben beneficiarse de la disponibilidad de herramientas nuevas y flexibles que garanticen el cumplimiento de los requisitos del presente Reglamento y de los actos de ejecución pertinentes adoptados en virtud de este. El presente Reglamento debe permitir que los Estados miembros utilicen los informes elaborados y las evaluaciones realizadas por los organismos de evaluación de la conformidad acreditados, según lo previsto en el contexto de los esquemas de certificación que deben establecerse a escala de la Unión en virtud del Reglamento (UE) 2019/881, para respaldar sus afirmaciones sobre la conformidad de dichos esquemas o de determinadas partes de ellos con el Reglamento (UE) nº 910/2014.

(41) Los prestadores de servicios públicos utilizan los datos de identificación de la persona proporcionados por los medios de identificación electrónica en virtud del Reglamento (UE) nº 910/2014 para determinar que la identidad electrónica de los usuarios procedentes de otros Estados miembros se corresponde con los datos de identificación de la persona facilitados a dichos usuarios en el Estado miembro que lleva a cabo el proceso transfronterizo de correspondencia de la identidad. No obstante, en muchos casos, a pesar del uso del conjunto mínimo de datos facilitado por los sistemas de identificación electrónica notificados, para garantizar una correspondencia precisa de la identidad cuando los Estados miembros actúan como partes usuarias se necesita información adicional sobre el usuario y que se lleven a cabo procedimientos específicos complementarios de identificación única a escala nacional. Para mejorar la facilidad de uso de los medios de identificación electrónica, prestar un mejor servicio público en línea y aumentar la seguridad jurídica respecto a la identidad electrónica de los usuarios, el Reglamento (UE) nº 910/2014 debe establecer que los Estados miembros adopten medidas específicas en línea para garantizar la correspondencia inequívoca de la identidad cuando los usuarios pretenden acceder a servicios públicos transfronterizos en línea.

(42) Al desarrollar las carteras europeas de identidad digital es esencial tener en cuenta las necesidades de los usuarios. Deben existir casos de uso significativos y servicios en línea que utilicen las carteras europeas de identidad digital disponibles. En aras de la comodidad de los usuarios y con el fin de garantizar la disponibilidad transfronteriza de dichos servicios, es importante emprender acciones para facilitar un enfoque similar en el diseño, el desarrollo y la aplicación de los servicios en línea en todos los Estados miembros. Las directrices no vinculantes sobre cómo diseñar, desarrollar y aplicar servicios en línea que utilicen las carteras europeas de identidad digital tienen el potencial de convertirse en una herramienta útil para alcanzar ese objetivo. Dichas directrices deben elaborarse teniendo en cuenta el marco de interoperabilidad de la Unión. Los Estados miembros deben desempeñar un papel de liderazgo a la hora de adoptarlas.

(43) En consonancia con la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (12), las personas con discapacidad deben poder utilizar las carteras europeas de identidad digital, los servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, en igualdad de condiciones que el resto de los usuarios.

(44) A fin de garantizar el cumplimiento efectivo del presente Reglamento, se debe establecer un mínimo para el máximo de las multas administrativas para los prestadores de servicios de confianza, tanto los cualificados como los no cualificados. Los Estados miembros deben establecer sanciones efectivas, proporcionales y disuasorias. Al determinar las sanciones, se deben tener debidamente en cuenta el tamaño de las entidades afectadas, sus modelos de negocio y la gravedad de las infracciones.

(45) Los Estados miembros deben establecer normas sobre las sanciones aplicables a las infracciones, como las prácticas directas o indirectas que den lugar a confusión entre servicios de confianza no cualificados y cualificados o al uso abusivo de la etiqueta de confianza de la UE por parte de prestadores no cualificados de servicios de confianza. La etiqueta de confianza de la UE no debe utilizarse en condiciones que, directa o indirectamente, lleven a la percepción de que los servicios de confianza no cualificados ofrecidos por esos prestadores están cualificados.

(46) El presente Reglamento no debe regular los aspectos relacionados con la celebración y validez de los contratos u otras obligaciones legales cuando existan requisitos de índole formal establecidos por el Derecho de la Unión o nacional. Por otro lado, no debe afectar a los requisitos nacionales de índole formal correspondientes a los registros públicos, en particular los registros mercantiles y de la propiedad.

(47) La prestación y utilización de servicios de confianza y las ventajas que conllevan en términos de comodidad y seguridad jurídica en el contexto de las transacciones transfronterizas, en especial cuando se utilizan servicios de confianza cualificados, está adquiriendo una importancia creciente para el comercio y la cooperación internacionales. Los socios internacionales de la Unión están creando marcos de confianza inspirados en el Reglamento (UE) nº 910/2014. Para facilitar el reconocimiento de servicios de confianza cualificados y de sus prestadores, la Comisión podrá adoptar actos de ejecución en los que se establezcan las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza para servicios de confianza cualificados y sus prestadores previsto en el presente Reglamento. Dicho enfoque debe complementar la posibilidad del reconocimiento mutuo de los servicios de confianza y sus prestadores establecidos en la Unión y en terceros países de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE). Al establecer las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza previsto con arreglo al Reglamento (UE) nº 910/2014 para los servicios de confianza cualificados y sus prestadores, debe garantizarse el cumplimiento de las disposiciones pertinentes de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (13) y del Reglamento (UE) 2016/679, así como el uso de listas de confianza por ser elementos esenciales para generar confianza.

(48) El presente Reglamento debe fomentar la elección entre carteras europeas de identidad digital y la posibilidad de cambiarlas cuando el Estado miembro haya refrendado más de una solución de carteras europeas de identidad digital en su territorio. Con el fin de evitar efectos de bloqueo en tales situaciones, cuando sea técnicamente posible, los proveedores de carteras europeas de identidad digital deben garantizar la portabilidad efectiva de los datos a petición de los usuarios de las carteras europeas de identidad digital, y no se les debe permitir que utilicen barreras contractuales, económicas o técnicas para impedir o desalentar el cambio efectivo entre diferentes carteras europeas de identidad digital.

(49) Para garantizar el correcto funcionamiento de las carteras europeas de identidad digital, los proveedores de estas necesitan una interoperabilidad efectiva y condiciones justas, razonables y no discriminatorias para que las carteras europeas de identidad digital accedan a las características y de equipo y programa informático específicas de los dispositivos móviles. Dichos componentes pueden incluir, en particular, antenas de comunicación de campo próximo y medidas de protección, como tarjetas de circuito integrado universal, medidas de protección integradas, tarjetas microSD y Bluetooth de baja energía. El acceso a estos componentes podría estar bajo el control de los operadores de redes móviles y los fabricantes de equipos. Por tanto, cuando se necesiten para ofrecer los servicios de las carteras europeas de identidad digital, los fabricantes de los equipos originales de dispositivos móviles o los prestadores de servicios de comunicación electrónica no deben rechazar el acceso a dichos componentes. Asimismo, las empresas designadas como guardianes de acceso para los prestadores de servicios básicos en la lista publicada por la Comisión en virtud del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (14) deben seguir sujetas a las disposiciones específicas de dicho Reglamento, sobre la base de su artículo 6, apartado 7.

(50) A fin de racionalizar las obligaciones impuestas a los prestadores de servicios de confianza en materia de ciberseguridad y de permitir a dichos prestadores y sus respectivas autoridades competentes beneficiarse del marco jurídico que se establece en la Directiva (UE) 2022/2555, los servicios de confianza deben adoptar medidas técnicas y organizativas adecuadas en virtud de dicha Directiva —como las dirigidas a corregir fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales—, con objeto de gestionar los riesgos para la seguridad de las redes y los sistemas de información que emplean dichos prestadores en la prestación de sus servicios, y de notificar incidentes y ciberamenazas importantes de conformidad con dicha Directiva. Con respecto a la notificación de incidentes, los prestadores de servicios de confianza deben notificar cualquier incidente que tenga un efecto considerable en la prestación de sus servicios, especialmente los causados por el robo o extravío de dispositivos, el deterioro de los cables de red o incidentes que ocurran en el contexto de la identificación de personas. Los requisitos en materia de gestión de riesgos de la ciberseguridad y las obligaciones de notificación que contempla la Directiva (UE) 2022/2555 deben considerarse complementarios a los requisitos impuestos a los prestadores de servicios de confianza con arreglo al presente Reglamento. Cuando corresponda, las autoridades competentes designadas en virtud de la Directiva (UE) 2022/2555 deben seguir aplicando las prácticas u orientaciones nacionales establecidas en relación con la aplicación de los requisitos de seguridad y notificación y con la supervisión del cumplimiento de dichos requisitos en virtud del Reglamento (UE) nº 910/2014. El presente Reglamento no afecta a la obligación de notificar las violaciones de la seguridad de los datos personales en virtud del Reglamento (UE) 2016/679.

(51) Se debe prestar la debida atención para garantizar una cooperación eficaz entre los organismos de supervisión designados en virtud del artículo 46 ter del Reglamento (UE) nº 910/2014 y las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555. Cuando dicho organismo de supervisión sea distinto de dicha autoridad competente, deben cooperar estrechamente y de manera oportuna, intercambiando la información pertinente a fin de garantizar que se realiza una supervisión eficaz y que los prestadores de servicios de confianza cumplen los requisitos establecidos en el Reglamento (UE) nº 910/2014 y en la Directiva (UE) 2022/2555. En particular, los organismos de supervisión designados en virtud del Reglamento (UE) nº 910/2014 deben estar facultados para solicitar a la autoridad competente designada o establecida en virtud de la Directiva (UE) 2022/2555 que proporcione la información pertinente necesaria para otorgar la cualificación y que emprenda las acciones de supervisión requeridas para verificar que los prestadores de servicios de confianza cumplen los requisitos pertinentes de la Directiva (UE) 2022/2555 o exigir a estos que subsanen cualquier incumplimiento.

(52) Es esencial proporcionar un marco jurídico para facilitar el reconocimiento transfronterizo entre los ordenamientos jurídicos nacionales existentes relacionados con servicios de entrega electrónica certificada. Dicho marco puede abrir, además, nuevas oportunidades de mercado que permitan a los prestadores de servicios de confianza de la Unión ofrecer nuevos servicios de entrega electrónica certificada en toda la Unión. A fin de garantizar que los datos que utilizan un servicio cualificado de entrega electrónica certificada se entreguen al destinatario correcto, los servicios cualificados de entrega electrónica certificada deben garantizar con total certeza la identificación del destinatario, mientras que en lo que respecta a la identificación del remitente es suficiente un nivel de confianza alto. Los Estados miembros deben animar a los prestadores de servicios cualificados de entrega electrónica certificada a que sus servicios sean interoperables con los servicios cualificados de entrega electrónica certificada prestados por otros prestadores cualificados de servicios de confianza a fin de transferir fácilmente los datos electrónicos registrados entre dos o más prestadores cualificados de servicios de confianza y promover prácticas justas en el mercado interior.

(53) En la mayoría de los casos, los ciudadanos de la Unión y los residentes en la Unión no pueden intercambiar información digital relacionada con su identidad, como su dirección, su edad, sus cualificaciones profesionales, su permiso de conducción y otros permisos y datos de pago, a escala transfronteriza, de forma segura y con un nivel de protección de datos alto.

(54) Debe ser posible emitir y gestionar atributos electrónicos fiables, así como contribuir a reducir la carga administrativa, de modo que se faculte a los ciudadanos de la Unión y a los residentes en la Unión para utilizar estos atributos en sus transacciones públicas y privadas. Por ejemplo, los ciudadanos de la Unión y los residentes en la Unión han de poder demostrar la titularidad de un permiso de conducción válido expedido por una autoridad de un Estado miembro, susceptible de ser verificada y admitida por las autoridades competentes de otro Estado miembro, así como utilizar sus credenciales de seguridad social o los futuros documentos digitales de viaje en un contexto transfronterizo.

(55) Todo prestador de servicios que emita atributos declarados en formato electrónico —como diplomas, permisos, certificados de nacimiento o poderes y mandatos para representar a personas físicas o jurídicas o actuar en su nombre— debe considerarse un prestador de servicios de confianza de declaraciones electrónicas de atributos. No se deben denegar los efectos jurídicos de una declaración electrónica de atributos por el mero hecho de que esta haya sido emitida en formato electrónico o porque no cumpla todos los requisitos de la declaración electrónica cualificada de atributos. Deben establecerse requisitos generales para asegurar que una declaración electrónica cualificada de atributos tenga un efecto jurídico equivalente al de las declaraciones legalmente emitidas en papel. Sin embargo, tales requisitos deben aplicarse sin perjuicio de que el Derecho de la Unión o nacional defina requisitos de índole formal adicionales específicos del sector con efectos jurídicos subyacentes, y, en particular, el reconocimiento transfronterizo de la declaración electrónica cualificada de atributos, cuando corresponda.

(56) La amplia disponibilidad y facilidad de uso de las carteras europeas de identidad digital debe fomentar su aceptación y confianza tanto por los particulares como por los prestadores de servicios privados. Por consiguiente, las partes usuarias privadas que prestan servicios, por ejemplo, en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, las telecomunicaciones o la educación deben aceptar el uso de las carteras europeas de identidad digital para la prestación de servicios en los casos en los que el Derecho de la Unión, nacional o una obligación contractual requieran una autenticación reforzada de usuario para la identificación en línea. Toda solicitud formulada por una parte usuaria de información del usuario de una cartera europea de identificación digital debe ser necesaria y proporcionada al uso previsto en un caso determinado, debe seguir el principio de minimización de datos y debe garantizar la transparencia en lo que respecta a los datos que se comparten y sus fines. Para facilitar el uso y la aceptación de las carteras europeas de identidad digital, en su implantación deben tenerse en cuenta las normas y especificaciones industriales ampliamente aceptadas.

(57) Cuando las plataformas en línea de muy gran tamaño, en el sentido del artículo 33, apartado 1, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (15) exijan a los usuarios que están autenticados a fin de acceder a servicios en línea, debe requerirse a dichas plataformas que acepten el uso de carteras europeas de identidad digital si así lo solicita voluntariamente el usuario. Los usuarios no deben tener ninguna obligación de utilizar una cartera europea de identidad digital para acceder a servicios privados y su acceso a los servicios no debe verse restringido ni obstaculizado por no utilizar una cartera europea de identidad digital. No obstante, si los usuarios así lo desean, las plataformas en línea de muy gran tamaño deben aceptarlas a tal fin, respetando en todo momento el principio de minimización de datos y el derecho de los usuarios a utilizar seudónimos libremente elegidos. La obligación de aceptar carteras europeas de identidad digital es necesaria para incrementar la protección de los usuarios frente al fraude y garantizar un nivel de protección de datos alto, dada la importancia de las plataformas en línea de muy gran tamaño y debido a su alcance, en particular por lo que respecta al número de receptores del servicio y de transacciones económicas.

(58) Deben desarrollarse códigos de conducta a escala de la Unión para contribuir a una amplia disponibilidad y facilidad de uso de los medios de identificación electrónica (como las carteras europeas de identidad digital) contemplados en el ámbito de aplicación del presente Reglamento. Los códigos de conducta deben facilitar una aceptación amplia de los medios de identificación electrónica, incluidas las carteras europeas de identidad digital, por parte de los prestadores de servicios que no se ajusten a la definición de plataformas de muy gran tamaño y que recurran a servicios de identificación electrónica de terceros para autenticar a sus usuarios.

(59) La divulgación selectiva es un concepto que faculta al propietario de los datos para revelar solo determinadas partes de un conjunto de datos más amplio, a fin de que la entidad receptora obtenga únicamente la información que sea necesaria para la prestación de un servicio solicitado por el usuario. La cartera europea de identidad digital debe permitir técnicamente la divulgación selectiva de atributos a las partes usuarias. Debe ser técnicamente posible para el usuario divulgar esos atributos de manera selectiva, incluso a partir de varias declaraciones electrónicas distintas y combinarlos y presentarlos sin incidencias a las partes usuarias. Esta característica debe convertirse en una característica básica del diseño de las carteras europeas de identidad digital, reforzando así la comodidad y la protección de los datos personales, en especial la minimización de datos.

(60) A menos que haya normas específicas del Derecho de la Unión o nacional que exijan que los usuarios se identifiquen, no debe prohibirse el acceso a los servicios utilizando un seudónimo.

(61) Los atributos proporcionados por los prestadores cualificados de servicios de confianza como parte de la declaración cualificada de atributos deben ser cotejados con fuentes auténticas, ya sea directamente por el prestador cualificado de servicios de confianza o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional, a efectos de proteger el intercambio de atributos declarados entre los prestadores de servicios de identificación o de servicios de declaración de atributos y las partes usuarias. Los Estados miembros deben establecer mecanismos adecuados a escala nacional para garantizar que los prestadores cualificados de servicios de confianza que emitan declaraciones electrónicas cualificadas de atributos puedan, sobre la base del consentimiento de la persona a la que se expide la declaración, verificar la autenticidad de los atributos que dependen de fuentes auténticas. Debe ser posible que los mecanismos adecuados incluyan el recurso a intermediarios específicos o a soluciones técnicas de acuerdo con el Derecho nacional que permitan el acceso a fuentes auténticas. Garantizar la disponibilidad de un mecanismo que permita el cotejo de atributos con fuentes auténticas tiene por objeto facilitar que los prestadores cualificados de servicios de confianza de declaraciones electrónicas cualificadas de atributos cumplan las obligaciones que les impone el Reglamento (UE) nº 910/2014. Un nuevo anexo de dicho Reglamento debe contener una lista de categorías de atributos respecto de los cuales los Estados miembros deben velar por que se adopten medidas para que los prestadores cualificados de declaraciones electrónicas de atributos puedan cotejar su autenticidad con la fuente auténtica pertinente por medios electrónicos, a petición del usuario.

(62) La identificación electrónica segura y la provisión de declaraciones de atributos deben ofrecer flexibilidad y soluciones adicionales para el sector de los servicios financieros, con objeto de posibilitar la identificación de los clientes y el intercambio de los atributos específicos necesarios para cumplir, entre otros, los requisitos de debida diligencia con los clientes en virtud de un futuro Reglamento por el que se establezca la autoridad de lucha contra el blanqueo de capitales, [añádase la referencia una vez adoptada la propuesta], los requisitos de idoneidad que emanan del Derecho sobre la protección de los inversores, o para facilitar el cumplimiento de los requisitos de autenticación reforzada del cliente para la identificación en línea a efectos de la conexión a las cuentas o la realización de transacciones en el ámbito de los servicios de pago.

(63) No se han de impugnar los efectos jurídicos de una firma electrónica por el mero hecho de que se haya emitido en formato electrónico o porque no cumpla todos los requisitos de la firma electrónica cualificada. Sin embargo, corresponde al Derecho nacional determinar el efecto jurídico de la firma electrónica excepto los requisitos establecidos en el presente Reglamento conforme a los que el efecto jurídico de una firma electrónica se considera equivalente al de una firma manuscrita. Al determinar los efectos jurídicos de las firmas electrónicas, los Estados miembros deben tener en cuenta el principio de proporcionalidad entre el valor jurídico de un documento que debe firmarse y el nivel de seguridad y coste que exige una firma electrónica. Para aumentar la accesibilidad y el uso de las firmas electrónicas, se anima a los Estados miembros a considerar el uso de firmas electrónicas avanzadas en las transacciones diarias, para las que proporcionan un nivel suficiente de seguridad y confianza.

(64) A fin de garantizar la coherencia de las prácticas de certificación en toda la Unión, la Comisión debe emitir directrices sobre la certificación y la renovación de la certificación de los dispositivos cualificados de creación de firma electrónica y de los dispositivos cualificados de creación de sello electrónico, incluidas su validez y sus limitaciones temporales. El presente Reglamento no impide que los organismos públicos o privados que hayan certificado dispositivos cualificados de creación de firma electrónica recertifiquen temporalmente dicho producto durante un corto período de certificación, sobre la base del resultado del proceso de certificación anterior, cuando dicha recertificación no pueda realizarse dentro del plazo legalmente establecido por un motivo distinto de una infracción o incidente de seguridad, sin perjuicio de la obligación de llevar a cabo una evaluación de la vulnerabilidad y de la práctica de certificación aplicable.

(65) La expedición de certificados de autenticación de sitios web tiene la finalidad de proporcionar a los usuarios una certeza, con un nivel de confianza alto, sobre la identidad de la entidad que respalda la existencia del sitio web, independientemente de la plataforma utilizada para mostrar dicha identidad. Estos certificados deben contribuir a crear confianza en la realización de operaciones mercantiles en línea, dado que los usuarios confiarían en un sitio web que haya sido autenticado. El uso tales certificados por parte de los sitios web debe ser voluntario. Para que la autenticación de sitios web llegue a ser un medio a través del cual aumentar la confianza, proporcionar al usuario una experiencia mejor y fomentar el crecimiento en el mercado interior, el presente Reglamento establece un marco de confianza que incluye obligaciones mínimas de seguridad y responsabilidad para los proveedores de certificados cualificados de autenticación de sitios web y los requisitos para la expedición de dichos certificados. Las listas de confianza nacionales deben confirmar la cualificación de los servicios de autenticación de sitios web y de sus prestadores cualificados de servicios de confianza, incluido su pleno cumplimiento de los requisitos del presente Reglamento en lo que respecta a la expedición de certificados cualificados de autenticación de sitios web. El reconocimiento de certificados cualificados de autenticación de sitios web conlleva que los proveedores de navegadores web no deben denegar la autenticidad de los certificados cualificados de autenticación de sitios web a efectos de declarar el vínculo entre el nombre de dominio del sitio web y la persona física o jurídica a la que se expide el certificado o confirmar la identidad de dicha persona. Los proveedores de navegadores web deben mostrar los datos de identificación de la persona certificados y los demás atributos declarados al usuario final de manera fácil de usar en el entorno del navegador, mediante los medios técnicos de su elección. Con este fin, los proveedores de navegadores web deben garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web expedidos en pleno cumplimiento del presente Reglamento. La obligación de reconocimiento e interoperabilidad y apoyo de los certificados cualificados para la autenticación de sitios web no afecta a la libertad de los proveedores de navegadores web para garantizar la seguridad de la web, la autenticación de dominios y el cifrado del tráfico en la web de la manera y mediante la tecnología que consideren más adecuada. Con el fin de contribuir a la seguridad en línea de los usuarios finales, los proveedores de navegadores web deben poder —en circunstancias excepcionales— adoptar medidas cautelares necesarias y proporcionadas en respuesta a preocupaciones justificadas en relación con violaciones de la seguridad o pérdida de integridad de un certificado o conjunto de certificados identificados. Cuando adopten tales medidas cautelares, los proveedores de navegadores web deben notificar, sin demora indebida, a la Comisión, al organismo nacional de supervisión, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya emitido dicho certificado o conjunto de certificados, cualquier preocupación relacionada con una violación de la seguridad o pérdida de integridad de ese tipo, así como las medidas adoptadas en relación con el único certificado o conjunto de certificados. Dichas medidas deben entenderse sin perjuicio de la obligación de los proveedores de navegadores web de reconocer los certificados cualificados de autenticación de sitios web de conformidad con las listas de confianza nacionales. Para mejorar la protección de los ciudadanos de la Unión y los residentes en la Unión y promover el uso de certificados cualificados para la autenticación de sitios web, las autoridades públicas de los Estados miembros deben estudiar la posibilidad de incorporar dichos certificados en sus sitios web. Las medidas previstas en el presente Reglamento destinadas a aumentar la coherencia entre los enfoques y prácticas divergentes de los Estados miembros en relación con los procedimientos de supervisión tienen por objeto contribuir a mejorar la confianza en la seguridad, la calidad y la disponibilidad de los certificados cualificados para la autenticación de sitios web.

(66) Muchos Estados miembros han introducido requisitos nacionales aplicables a la prestación de servicios que proporcionen un archivo electrónico seguro y fiable con el objetivo de posibilitar la conservación a largo plazo de datos documentos electrónicos y de los servicios de confianza asociados a estos. A fin de garantizar la seguridad jurídica, la confianza y la armonización en todos los Estados miembros, debe establecerse un marco jurídico para los servicios cualificados de archivo electrónico, inspirado en el marco de los demás servicios de confianza establecidos en el presente Reglamento. El marco jurídico para los servicios cualificados de archivo electrónico debe ofrecer a los prestadores de servicios de confianza y a los usuarios un conjunto de herramientas eficiente que incluya requisitos funcionales aplicables al servicio de archivo electrónico, así como efectos jurídicos claros cuando se utilice un servicio cualificado de archivo electrónico. Dichas disposiciones deben aplicarse a los datos y documentos electrónicos creados en forma digital, así como a los documentos en papel escaneados y digitalizados. Cuando sea necesario, dichas disposiciones deben permitir la reproducción de los datos y documentos electrónicos conservados en diferentes soportes o formatos con el fin de ampliar su durabilidad y legibilidad después del período de validez tecnológica, evitando al mismo tiempo la pérdida y la alteración en la medida de lo posible. Cuando los datos y documentos electrónicos presentados al servicio de archivo electrónico contengan una o varias firmas electrónicas cualificadas o sellos electrónicos cualificados, el servicio debe utilizar procedimientos y tecnologías capaces de ampliar su fiabilidad durante el período de conservación de dichos datos, posiblemente basándose en el uso de otros servicios de confianza cualificados establecidos por el presente Reglamento. Con el fin de crear pruebas de conservación cuando se utilicen firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, deben utilizarse servicios de confianza cualificados. En la medida en que los servicios de archivo electrónico no están armonizados por el presente Reglamento, los Estados miembros deben poder mantener o introducir disposiciones nacionales, de conformidad con el Derecho de la Unión, relativas a dichos servicios, tales como disposiciones específicas para los servicios integrados en una organización y únicamente utilizados para los archivos internos de dicha organización. El presente Reglamento no debe distinguir entre datos y documentos electrónicos creados en forma digital y documentos físicos que han sido digitalizados.

(67) Las actividades de los archivos nacionales y las instituciones de la memoria, en su calidad de organizaciones dedicadas a la conservación del patrimonio documental en interés público, suelen estar reguladas por el Derecho nacional y no prestan necesariamente servicios de confianza en el sentido del presente Reglamento. En la medida en que dichas instituciones no presten tales servicios de confianza, el presente Reglamento se entiende sin perjuicio de su funcionamiento.

(68) Los libros mayores electrónicos son una secuencia de registros electrónicos de datos que deben garantizar su integridad y la exactitud de su orden cronológico. Los libros mayores electrónicos deben establecer una secuencia cronológica de registros de datos. Junto con otras tecnologías, deben contribuir a encontrar soluciones para unos servicios públicos más eficientes y con capacidad transformadora, como el voto electrónico, la cooperación transfronteriza de las autoridades aduaneras o de las instituciones académicas y la inscripción de la propiedad de bienes inmuebles en registros descentralizados de la propiedad inmobiliaria. Los libros mayores electrónicos cualificados deben establecer una presunción legal sobre el orden cronológico secuencial único y exacto y la integridad de los registros de datos del libro mayor. Habida cuenta de sus particularidades, como el orden cronológico secuencial de los registros de datos, los libros mayores electrónicos deben distinguirse de otros servicios de confianza, como los sellos de tiempo electrónicos y los servicios de entrega electrónica certificada. Para garantizar la seguridad jurídica y promover la innovación, debe establecerse un marco jurídico a escala de la Unión que prevea el reconocimiento transfronterizo de servicios de confianza para el registro de los datos en libros mayores electrónicos. Esto debe impedir suficientemente copiar y vender más de una vez el mismo activo digital a diferentes partes. El proceso de creación y actualización de un libro mayor electrónico depende del tipo de libro mayor utilizado; en particular, si es centralizado o distribuido. El presente Reglamento debe garantizar la neutralidad tecnológica; es decir, no favorecer ni discriminar a ninguna tecnología utilizada para implantar el nuevo servicio de confianza para libros mayores electrónicos. Además, la Comisión debe tener en cuenta los indicadores de sostenibilidad con respecto a cualquier repercusión negativa sobre el clima u otras repercusiones negativas relacionadas con el medio ambiente y utilizar métodos adecuados, a la hora de preparar los actos de ejecución que especifiquen los requisitos aplicables a los libros mayores electrónicos cualificados.

(69) El papel de los prestadores de servicios de confianza de los libros mayores electrónicos debe ser comprobar la actividad de registro secuencial de los datos en el libro mayor. El presente Reglamento se entiende sin perjuicio de las obligaciones jurídicas que tengan los usuarios de libros mayores electrónicos con arreglo al Derecho de la Unión o nacional. Por ejemplo, los casos de uso que conlleven el tratamiento de datos personales deben cumplir el Reglamento (UE) 2016/679 y los casos de uso que se relacionen con los servicios financieros deben cumplir con el Derecho pertinente de la Unión en materia de servicios financieros.

(70) Al objeto de evitar la fragmentación del mercado interior y los obstáculos en este, derivados de unas normas y unas restricciones técnicas divergentes, y de garantizar un proceso coordinado para impedir que se vea afectada la aplicación del futuro marco europeo de identidad digital, se necesita un proceso de cooperación estrecha y estructurada entre la Comisión, los Estados miembros, la sociedad civil, el mundo académico y el sector privado. Para lograr ese objetivo, los Estados miembros y la Comisión deben cooperar dentro del marco establecido en la Recomendación (UE) 2021/946 (16) de la Comisión para determinar un conjunto de instrumentos común de la Unión para el marco para una identidad digital europea. En este contexto, los Estados miembros deben ponerse de acuerdo sobre una arquitectura técnica y un marco de referencia detallados, un conjunto de normas y referencias técnicas comunes —incluidas las normas reconocidas existentes— y un conjunto de directrices y descripciones de las mejores prácticas que aborden, como mínimo, todas las funcionalidades y la interoperabilidad de las carteras europeas de identidad digital (incluidas las firmas electrónicas) y de los prestadores cualificados de servicios de confianza para la declaración electrónica de atributos, según lo dispuesto en el presente Reglamento. En este contexto, los Estados miembros deben alcanzar asimismo un acuerdo sobre los elementos comunes del modelo de negocio y la estructura de las tasas de las carteras europeas de identidad digital para facilitar su adopción, en particular por parte de las pequeñas y medianas empresas, en un contexto transfronterizo. El contenido del conjunto de herramientas debe reflejar los resultados del debate y del proceso de adopción del marco europeo de identidad digital, y evolucionar de forma paralela a dichos resultados.

(71) El presente Reglamento establece un nivel armonizado de calidad, fiabilidad y seguridad de los servicios de confianza cualificados, independientemente del lugar en el que se lleven a cabo las operaciones. Por lo tanto, un prestador cualificado de servicios de confianza debe estar autorizado a externalizar sus operaciones relacionadas con la prestación de un servicio de confianza cualificado en un tercer país, siempre que ese tercer país ofrezca garantías adecuadas de que las actividades de supervisión y las auditorías puedan ejecutarse como si estas se llevaran a cabo en la Unión. Cuando no pueda garantizarse plenamente el cumplimiento del presente Reglamento, los organismos de supervisión deben poder adoptar medidas proporcionadas y justificadas, incluida la retirada de la cualificación del servicio de confianza prestado.

(72) Para ofrecer seguridad jurídica en lo que respecta a la validez de las firmas electrónicas avanzadas basadas en certificados cualificados, es esencial que se especifique la evaluación por la parte usuaria que lleva a cabo la validación de dicha firma electrónica avanzada basada en certificados cualificados.

(73) Los prestadores de servicios de confianza deben utilizar métodos criptográficos que reflejen las mejores prácticas actuales y la ejecución fiable de los algoritmos a fin de garantizar la seguridad y fiabilidad de sus servicios de confianza.

(74) El presente Reglamento establece la obligación de que los prestadores cualificados de servicios de confianza verifiquen la identidad de una persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos conforme a diversos métodos armonizados en toda la Unión. Para garantizar que los certificados cualificados y las declaraciones electrónicas cualificadas de atributos se expidan a la persona a la que pertenecen y que atestigüen el conjunto de datos correcto y único que representa la identidad de dicha persona, los prestadores cualificados de servicios de confianza que expidan certificados cualificados o declaraciones electrónicas cualificadas de atributos deben, en el momento de la expedición de dichos certificados y declaraciones, garantizar con total certeza la identificación de dicha persona. Asimismo, además de la verificación obligatoria de la identidad de la persona, si procede para la expedición de los certificados cualificados y al expedir una declaración electrónica cualificada de atributos, los prestadores cualificados de servicios de confianza deben garantizar con total certeza la corrección y la exactitud de los atributos declarados de la persona a la que se expide el certificado cualificado o la declaración electrónica cualificada de atributos. Esas obligaciones de resultado y total certeza a la hora de verificar los datos declarados deben respaldarse a través de medios adecuados, en particular utilizando uno de los métodos concretos previstos en el presente Reglamento o, cuando sea necesario, una combinación de estos. Debe ser posible combinar dichos métodos a fin de proporcionar una base adecuada para la verificación de la identidad de la persona a la que se expide el certificado cualificado o una declaración electrónica cualificada de atributos. Dicha combinación debe poder incluir el recurso a medios de identificación electrónica que cumplan los requisitos del nivel de seguridad sustancial en combinación con otros medios de verificación de la identidad. Dicha identificación electrónica permitiría el cumplimiento de los requisitos armonizados establecidos en el presente Reglamento en lo que respecta al nivel de seguridad alto como parte de procedimientos a distancia armonizados adicionales que garanticen la identificación con un nivel de confianza alto. Dichos métodos deben incluir la posibilidad de que el prestador cualificado de servicios de confianza que expida una declaración electrónica cualificada de atributos coteje los atributos que deben declararse por medios electrónicos a petición del usuario, de conformidad con el Derecho de la Unión o nacional, también con fuentes auténticas.

(75) Para mantener el presente Reglamento en consonancia con la evolución mundial y seguir las mejores prácticas en el mercado interior, los actos delegados y de ejecución adoptados por la Comisión deben revisarse y, en caso necesario, actualizarse periódicamente. La evaluación de la necesidad de dichas actualizaciones debe tener en cuenta las nuevas tecnologías, prácticas, normas o especificaciones técnicas.

(76) Dado que los objetivos del presente Reglamento —a saber, el desarrollo del marco europeo de identidad digital a escala de la UE y de un marco de servicios de confianza— no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(77) Se ha consultado al Supervisor Europeo de Protección de Datos de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.

(78) Por lo tanto, procede modificar el Reglamento (UE) nº 910/2014 en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1. Modificaciones al Reglamento (UE) nº 910/2014

El Reglamento (UE) nº 910/2014 se modifica como sigue:

1) El artículo 1 se sustituye por el texto siguiente:

«Artículo 1.Objeto

El presente Reglamento tiene por objeto garantizar el correcto funcionamiento del mercado interior y la existencia de un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza utilizados en toda la Unión, a fin de permitir y facilitar que las personas físicas y jurídicas ejerzan el derecho a participar en la sociedad digital de forma segura y a acceder a los servicios públicos y privados en línea en toda la Unión. A tales efectos, el presente Reglamento:

a) establece las condiciones en las cuales los Estados miembros reconocerán los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro y en las que proporcionarán y reconocerán las carteras europeas de identidad digital;

b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas;

c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada, los servicios certificados para la autenticación de sitios web, el archivo electrónico, la declaración electrónica de atributos, los dispositivos de creación de firmas electrónicas y de sellos electrónicos, y los libros mayores electrónicos.».

2) El artículo 2 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   El presente Reglamento se aplica a los sistemas de identificación electrónica notificados por los Estados miembros, a las carteras europeas de identidad digital proporcionadas por los Estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3.   El presente Reglamento no afecta al Derecho de la Unión o nacional relacionado con la celebración y validez de los contratos, otras obligaciones jurídicas o de procedimiento de índole formal o requisitos sectoriales de índole formal.

4.   El presente Reglamento se entiende sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*1).

3) El artículo 3 se modifica como sigue:

a) los puntos 1 a 5 se sustituyen por el texto siguiente:

«1) “identificación electrónica”, proceso consistente en utilizar los datos de identificación de la persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica;

2) “medios de identificación electrónica”, unidad material yo inmaterial que contiene los datos de identificación de la persona y que se utiliza para la autenticación en servicios en línea o, cuando proceda, en servicios fuera de línea;

3) “datos de identificación de la persona”, conjunto de datos que se emite de conformidad con el Derecho de la Unión o nacional y permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a otra persona física o a una persona jurídica;

4) “sistema de identificación electrónica”, régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a personas físicas o jurídicas o a personas físicas que representan a otras personas físicas o personas jurídicas;

5) “autenticación”, proceso electrónico que permite la confirmación de la identificación electrónica de una persona física o jurídica, o la confirmación del origen y la integridad de datos en formato electrónico;»;

b) se inserta el punto siguiente:

«5 bis)

“usuario”, persona física o jurídica, o persona física que representa a otra persona física o a una persona jurídica, que utiliza servicios de confianza o medios de identificación electrónica prestados de conformidad con el presente Reglamento;»;

c) el punto 6 se sustituye por el texto siguiente:

«6) “parte usuaria”, persona física o jurídica que confía en la identificación electrónica, las carteras europeas de identidad digital u otros medios de identificación electrónica, o en un servicio de confianza;»;

d) el punto 16 se sustituye por el texto siguiente:

«16) “servicio de confianza”, servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en cualquiera de las actividades siguientes:

a) la expedición de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

b) la validación de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

c) la creación de firmas electrónicas o sellos electrónicos;

d) la validación de firmas electrónicas o sellos electrónicos;

e) la conservación de firmas electrónicas, sellos electrónicos, certificados de firma electrónica o certificados de sello electrónico;

f) la gestión de dispositivos de creación de firma electrónica a distancia o dispositivos de creación de sello electrónico a distancia;

g) la expedición de declaraciones electrónicas de atributos;

h) la validación de declaraciones electrónicas de atributos;

i) la creación de sellos de tiempo electrónicos;

j) la validación de sellos de tiempo electrónicos;

k) la prestación de servicios de entrega electrónica certificada;

l) la validación de los datos transmitidos a través de servicios de entrega electrónica certificada y las pruebas correspondientes;

m) el archivo electrónico de datos y documentos electrónicos;

n) la actividad de registro de datos electrónicos en un libro mayor electrónico.»;

e) el punto 18 se sustituye por el texto siguiente:

«18) “organismo de evaluación de la conformidad”, organismo de evaluación de la conformidad definido en el artículo 2, punto 13, del Reglamento (CE) nº 765/2008, cuya competencia para realizar una evaluación de la conformidad de un prestador cualificado de servicios de confianza y de los servicios de confianza cualificados que este presta, o cuya competencia para certificar carteras europeas de identidad digital o medios de identificación electrónica, esté acreditada en virtud de dicho Reglamento;»;

f) el punto 21 se sustituye por el texto siguiente:

«21) “producto”, equipo o programa informático o sus componentes correspondientes, destinado a ser utilizado para la prestación de servicios de identificación electrónica y servicios de confianza;»;

g) se insertan los puntos siguientes:

«23 bis) “dispositivo cualificado de creación de firma electrónica a distancia”, dispositivo cualificado de creación de firmas electrónicas que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 29 bis, en nombre de un firmante;

23 ter) “dispositivo cualificado de creación de sello electrónico a distancia”, dispositivo cualificado de creación de sellos electrónicos que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 39 bis, en nombre de un creador de sellos;»;

h) el punto 38 se sustituyen por el texto siguiente:

«38) “certificado de autenticación de sitio web”, declaración electrónica que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;»;

i) el punto 41 se sustituye por el texto siguiente:

«41) “validación”, proceso consistente en verificar y confirmar que los datos en formato electrónico son válidos de conformidad con el presente Reglamento;»;

j) se añaden los puntos siguientes:

«42) “cartera europea de identidad digital”, medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura datos de identificación de la persona y declaraciones electrónicas de atributos con el fin de proporcionarlos a las partes usuarias y a otros usuarios de carteras europeas de identidad digital, así como firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

43) “atributo”, característica, cualidad, derecho o permiso de una persona física o jurídica o de un objeto;

44) “declaración electrónica de atributos”, declaración en formato electrónico que permite la autenticación de atributos;

45) “declaración electrónica cualificada de atributos”, declaración electrónica de atributos expedida por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo V;

46) “declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este”, declaración electrónica de atributos expedida por un organismo del sector público que sea responsable de una fuente auténtica o por un organismo del sector público que sea designado por el Estado miembro para expedir dichas declaraciones de atributos en nombre de los organismos del sector público responsables de las fuentes auténticas de conformidad con el artículo 45 septies y con el anexo VII;

47) “fuente auténtica”, repositorio o sistema, mantenido bajo la responsabilidad de un organismo del sector público o de una entidad privada, que contiene y proporciona atributos acerca de una persona física o jurídica, o de un objeto, y que se considera una fuente principal de dicha información, o que está reconocido como auténtico de conformidad con el Derecho de la Unión o nacional, incluidas las prácticas administrativas;

48) “archivo electrónico”, servicio que garantiza la recepción, el almacenamiento, la recuperación y la eliminación de datos electrónicos y documentos electrónicos para asegurar su durabilidad y legibilidad, así como para preservar su integridad, confidencialidad y prueba de origen durante todo el período de conservación;

49) “servicio cualificado de archivo electrónico”, servicio de archivo electrónico prestado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 undecies;

50) “etiqueta de confianza de la UE para la cartera de identidad digital”, indicación verificable, sencilla y reconocible formulada de manera clara, de que la cartera europea de identidad digital de que se trate se ha proporcionado de conformidad con el presente Reglamento;

51) “autenticación reforzada de usuario”, autenticación basada en la utilización de al menos dos factores de identificación de diferentes categorías, ya sea conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) o inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación;

52) “libro mayor electrónico”, secuencia de registros electrónicos de datos que garantiza la integridad de dichos registros y la exactitud de su orden cronológico;

53) “libro mayor electrónico cualificado”, libro mayor electrónico proporcionado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 terdecies;

54) “datos personales”, toda información en el sentido del artículo 4, punto 1, del Reglamento (UE) 2016/679;

55) “correspondencia de la identidad”, proceso por el cual se establece una correspondencia o vínculo entre los datos o medios de identificación electrónica y una cuenta existente perteneciente a esa misma persona;

56) “registro de datos”, datos electrónicos registrados con metadatos relacionados que respaldan el tratamiento de los datos;

57) “modo fuera de línea”, en lo que respecta al uso de las carteras europeas de identidad digital, interacción entre un usuario y un tercero que tiene lugar en una ubicación física utilizando tecnologías de proximidad inmediata, sin necesidad de que la cartera europea de identidad digital acceda a sistemas a distancia a través de redes de comunicaciones electrónicas a efectos de la interacción.».

4) El artículo 5 se sustituye por el texto siguiente:

«Artículo 5. Seudónimos en transacciones electrónicas

Sin perjuicio de las normas específicas del Derecho de la Unión o nacional que exijan a los usuarios identificarse o de los efectos jurídicos que el Derecho nacional contemple para los seudónimos, no se prohibirá la utilización de seudónimos escogidos por los usuarios.».

5) En el capítulo II, se inserta la sección siguiente:

«SECCIÓN 1. CARTERA EUROPEA DE IDENTIDAD DIGITAL

Artículo 5 bis. Carteras europeas de identidad digital

1.   A los efectos de garantizar que todas las personas físicas y jurídicas dispongan de un acceso transfronterizo seguro, de confianza y sin incidencias a servicios públicos y privados en la Unión, manteniendo al mismo tiempo el pleno control sobre sus datos, cada Estado miembro proporcionará al menos una cartera europea de identidad digital en los veinticuatro meses siguientes a la entrada en vigor de los actos de ejecución a que se refieren el apartado 23 del presente artículo y el artículo 5 quater, apartado 6.

2.   Las carteras europeas de identidad digital se proporcionarán de una o varias de las maneras siguientes:

a) directamente por un Estado miembro;

b) con arreglo a un mandato de un Estado miembro;

c) de manera independiente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

3.   El código fuente de los componentes de programas informáticos de las carteras europeas de identidad digital tendrá licencia de código abierto. Los Estados miembros podrán disponer que, por razones debidamente justificadas, no se divulgue el código fuente de componentes específicos distintos de los instalados en los dispositivos de los usuarios.

4.   Las carteras europeas de identidad digital permitirán al usuario, de manera intuitiva, transparente y rastreable por el usuario:

a) solicitar, obtener, seleccionar, combinar, almacenar, eliminar, compartir y presentar de forma segura, bajo el control exclusivo del usuario, datos de identificación de la persona y, cuando proceda, en combinación con declaraciones electrónicas de atributos, autenticarse ante partes usuarias en línea y, en su caso, en modo fuera de línea, con el fin de acceder a servicios públicos y privados, velando al mismo tiempo por que sea posible divulgar los datos selectivamente;

b) generar seudónimos y almacenarlos cifrados y localmente en la cartera europea de identidad digital;

c) autenticar de forma segura la cartera europea de identidad digital de otra persona, así como recibir y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura entre las dos carteras europeas de identidad digital;

d) acceder a un registro de todas las transacciones realizadas a través de la cartera europea de identidad digital mediante un panel común que permita al usuario:

i) ver una lista actualizada de las partes usuarias con las que ha establecido una conexión y, en su caso, todos los datos intercambiados,

ii) solicitar fácilmente a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

iii) notificar fácilmente una parte usuaria a la autoridad nacional de protección de datos en los casos en los que se reciba una solicitud de datos presuntamente ilícita o sospechosa;

e) firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

f) descargar, en la medida en que sea técnicamente viable, los datos, la declaración electrónica de atributos y las configuraciones del usuario;

g) ejercer los derechos del usuario a la portabilidad de los datos.

5.   En particular, las carteras europeas de identidad digital:

a) admitirán protocolos e interfaces comunes:

i) para expedir datos de identificación de la persona, declaraciones electrónicas cualificadas y no cualificadas de atributos o certificados cualificados y no cualificados para la cartera europea de identidad digital,

ii)para que las partes usuarias soliciten y validen datos de identificación de la persona y declaraciones electrónicas de atributos,

iii) para compartir con las partes usuarias, y presentarles, datos de identificación de la persona, una declaración electrónica de atributos o datos conexos divulgados selectivamente, en línea y, cuando proceda, en modo fuera de línea,

iv) para que el usuario permita la interacción con la cartera europea de identidad digital y muestre una etiqueta de confianza de la UE para la cartera de identidad digital,

v) para incorporar al usuario de manera segura utilizando un medio de identificación electrónica de conformidad con el artículo 5 bis, apartado 24,

vi) para permitir la interacción entre las carteras europeas de identidad digital de dos personas a fin de recibir, validar y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura,

vii) para autenticar e identificar a partes usuarias aplicando mecanismos de autenticación de conformidad con el artículo 5 ter,

viii) para que las partes usuarias verifiquen la autenticidad y la validez de las carteras europeas de identidad digital,

ix) para solicitar a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

x) para denunciar a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud de datos presuntamente ilícita o sospechosa,

xi) para crear firmas electrónicas o sellos electrónicos cualificados mediante dispositivos cualificados de creación de firma electrónica o sello electrónico;

b) no facilitarán información alguna a los prestadores de servicios de confianza de declaraciones electrónicas de atributos sobre el uso de dichas declaraciones electrónicas;

c) garantizarán que la identidad de las partes usuarias pueda autenticarse e identificarse mediante la aplicación de mecanismos de autenticación de conformidad con el artículo 5 ter;

d) cumplirán los requisitos establecidos en el artículo 8 en lo referente al nivel de seguridad alto, en particular en lo que sea aplicable a los requisitos de acreditación y verificación de la identidad, así como a la gestión y autenticación de medios de identificación electrónica;

e) en el caso de las declaraciones electrónicas de atributos con políticas de divulgación incorporadas, aplicarán el mecanismo adecuado para informar al usuario de que la parte usuaria o el usuario de la cartera europea de identidad digital solicitante de la declaración electrónica de atributos tiene permiso para acceder a dicha declaración;

f) garantizarán que los datos de identificación personal disponibles a través del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital correspondan de forma única, a la persona física, la persona jurídica o la persona física que representa a la persona física o jurídica y estén asociados con esa cartera europea de identidad digital;

g)  ofrecerán a todas las personas físicas la posibilidad de firmar, por defecto y de forma gratuita, mediante firmas electrónicas cualificadas.

No obstante lo dispuesto en el párrafo primero, letra g), los Estados miembros podrán establecer medidas proporcionadas para garantizar que el uso gratuito de las firmas electrónicas cualificadas por parte de las personas físicas se limite a fines no profesionales.

6.   Los Estados miembros informarán a los usuarios, sin demora, de toda violación de la seguridad que pueda haber comprometido total o parcialmente sus carteras europeas de identidad digital o su contenido, en particular si sus carteras europeas de identidad digital han sido suspendidas o revocadas en virtud del artículo 5 sexies;

7.   Sin perjuicio de lo dispuesto en el artículo 5 septies, los Estados miembros podrán contemplar, de conformidad con el Derecho nacional, funcionalidades adicionales de las carteras europeas de identidad digital, como la interoperabilidad con los medios nacionales de identificación electrónica existentes. Dichas funcionalidades adicionales cumplirán lo dispuesto en el presente artículo.

8.   Los Estados miembros proporcionarán mecanismos de validación gratuitos a fin de:

a) garantizar que se pueda verificar la autenticidad y validez de las carteras europeas de identidad digital;

b) permitir que los usuarios verifiquen la autenticidad y validez de la identidad de las partes usuarias registradas de conformidad con el artículo 5 ter.

9.   Los Estados miembros velarán por que la validez de la cartera europea de identidad digital pueda revocarse en las siguientes circunstancias:

a) a petición expresa del usuario;

b) cuando la seguridad de la cartera europea de identidad digital se haya visto comprometida;

c) en caso de fallecimiento del usuario o cese de actividad de la persona jurídica.

10.   Los proveedores de carteras europeas de identidad digital garantizarán que los usuarios puedan solicitar fácilmente apoyo técnico y notificar problemas técnicos o cualquier otro incidente que afecte negativamente al uso de las carteras europeas de identidad digital.

11.   Las carteras europeas de identidad digital se proporcionarán en el marco de un sistema de identificación electrónica con nivel de seguridad alto.

12.   Las carteras europeas de identidad digital respetarán el principio de seguridad desde el diseño.

13.   La expedición, el uso y la revocación de las carteras europeas de identidad digital serán gratuitos para todas las personas físicas.

14.   Los usuarios tendrán pleno control sobre el uso de su cartera europea de identidad digital y sobre los datos que consten en ella. El proveedor de la cartera europea de identidad digital no recopilará información sobre el uso de la cartera europea de identidad digital que no sea necesaria para la prestación de los servicios de esta, ni combinará datos de identificación de la persona u otros datos personales almacenados o relativos al uso de la cartera europea de identidad digital con datos personales obtenidos a través de otros servicios ofrecidos por dicho proveedor o a través de servicios de terceros que no sean necesarios para la prestación de los servicios de la cartera europea de identidad digital, a menos que el usuario haya solicitado expresamente lo contrario. Se establecerá una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de las carteras europeas de identidad digital. Si la cartera europea de identidad digital ha sido proporcionada por entidades privadas de conformidad con lo dispuesto en el apartado 2, letras b) y c), se aplicarán mutatis mutandis las disposiciones del artículo 45 nonies, apartado 3.

15.   La utilización de las carteras europeas de identidad digital será voluntaria. El acceso a los servicios públicos y privados, el acceso al mercado laboral y la libertad de empresa no se restringirán de ninguna manera ni perjudicarán a las personas físicas o jurídicas que no utilicen las carteras europeas de identidad digital. Seguirá siendo posible acceder a los servicios públicos y privados mediante los otros medios de identificación y autenticación existentes.

16.   El marco técnico de la cartera europea de identidad digital:

a) no permitirá que, tras la expedición de la declaración de atributos, los prestadores de declaraciones electrónicas de atributos o cualquier otra parte obtengan datos que permitan que se rastree, vincule o correlacione, u obtener de cualquier otra manera, conocimiento de las transacciones o del comportamiento del usuario a menos que este lo autorice explícitamente;

b) permitirá tecnologías de protección de la privacidad que garanticen la no vinculación, cuando la declaración de atributos no requiera la identificación del usuario.

17.   Todo tratamiento de datos personales realizado por los Estados miembros o en su nombre por organismos o partes responsables de la provisión de carteras europeas de identidad digital como medio de identificación electrónica se llevará a cabo de conformidad con medidas adecuadas y efectivas de protección de datos. Se demostrará que dicho tratamiento cumple el Reglamento (UE) 2016/679. Los Estados miembros podrán introducir disposiciones nacionales para especificar en más detalle la aplicación de dichas medidas.

18.   Sin dilación indebida, los Estados miembros comunicarán a la Comisión información sobre:

a) el organismo responsable de establecer y mantener la lista de partes usuarias registradas que utilizan las carteras europeas de identidad digital de conformidad con el artículo 5 ter, apartado 5, y la localización de dicha lista;

b) los organismos responsables de la provisión de carteras europeas de identidad digital de conformidad con el artículo 5 bis, apartado 1;

c) los organismos responsables de garantizar que los datos de identificación de la persona estén asociados a la cartera europea de identidad digital de conformidad con el artículo 5 bis, apartado 5, letra f);

d) el mecanismo que permite validar los datos de identificación de la persona a que se refiere el artículo 5 bis, apartado 5, letra f), y la identidad de las partes usuarias;

e) el mecanismo para validar la autenticidad y la validez de las carteras europeas de identidad digital.

La Comisión pondrá a disposición del público la información notificada en virtud del párrafo primero, a través de un canal seguro, la información a que se refiere el presente apartado en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

19.   Sin perjuicio del apartado 22 del presente artículo, el artículo 11 se aplicará mutatis mutandis a la cartera europea de identidad digital.

20.   El artículo 24, apartado 2, letras b) y d) a h), se aplicará mutatis mutandis a los proveedores de carteras europeas de identidad digital.

21.   Se garantizará la accesibilidad de las carteras europeas de identidad digital para las personas con discapacidad, en igualdad de condiciones que el resto de los usuarios, conforme a los requisitos de accesibilidad previstos en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (*2).

22.   A efectos de la provisión de las carteras europeas de identidad digital, ni estas ni los sistemas de identificación electrónica con arreglo a los cuales se proporcionan estarán sujetos a los requisitos establecidos en los artículos 7, 9, 10, 12 y 12 bis.

23.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los requisitos a que se refieren los apartados 4, 5, 8 y 18 del presente artículo sobre la implantación de las carteras europeas de identidad digital. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

24.   La Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, cuando proceda, especificaciones y procedimientos, con el fin de facilitar la incorporación de los usuarios a la cartera europea de identidad digital utilizando bien medios de identificación electrónica conformes con el nivel de seguridad alto, bien medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia, de modo que, en conjunto, cumplan los requisitos del nivel de seguridad alto. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 ter. Partes usuarias de las carteras europeas de identidad digital

1.   Cuando una parte usuaria tenga previsto utilizar carteras europeas de identidad digital para prestar servicios públicos o privados mediante una interacción digital, se registrará en el Estado miembro en el que esté establecida.

2.   El proceso de registro tendrá un coste razonable y proporcional al riesgo. La parte usuaria proporcionará, como mínimo:

a) la información necesaria para autenticarse en las carteras europeas de identidad digital, lo que como mínimo incluye:

i) el Estado miembro en el que la parte usuaria tiene su sede, y

ii) el nombre de la parte usuaria y, en su caso, su número de registro tal como figura en un registro oficial, junto con los datos de identificación de dicho registro oficial;

b) los datos de contacto de la parte usuaria;

c) el uso previsto de las carteras europeas de identidad digital, incluida una mención de los datos que la parte usuaria solicitará a los usuarios.

3.   Las partes usuarias no solicitarán a los usuarios datos distintos de los mencionados en virtud del apartado 2, letra c).

4.   Los apartados 1 y 2 se entenderán sin perjuicio del Derecho de la Unión o nacional aplicable a la prestación de servicios específicos.

5.   Los Estados miembros publicarán la información a que se refiere el apartado 2 en línea en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

6.   Las partes usuarias registradas de conformidad con el presente artículo informarán sin demora a los Estados miembros sobre cualquier cambio en la información facilitada en el registro en virtud del apartado 2.

7.   Los Estados miembros facilitarán un mecanismo común para permitir la identificación y autenticación de las partes usuarias, tal como prevé el artículo 5 bis, apartado 5, letra c).

8.   Cuando las partes usuarias tengan previsto utilizar carteras europeas de identidad digital, se identificarán respecto al usuario.

9.   Las partes usuarias serán responsables de llevar a cabo el procedimiento de autenticación y validación de los datos de identificación personal y de las declaraciones electrónicas de atributos solicitados por las carteras europeas de identidad digital. Las partes usuarias no rechazarán el uso de seudónimos, cuando el Derecho de la Unión o nacional no exija la identificación del usuario.

10.   Los intermediarios que actúen en nombre de las partes usuarias se considerarán partes usuarias y no almacenarán datos sobre el contenido de la transacción.

11.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá especificaciones técnicas y procedimientos para los requisitos mencionados en los apartados 2, 5 y 6 a 9 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 quater. Certificación de las carteras europeas de identidad digital

1.   La conformidad de las carteras europeas de identidad digital y el sistema de identificación electrónica con arreglo al cual se proporcionan los requisitos establecidos en el artículo 5 bis, apartados 4, 5 y 8, el requisito de separación lógica establecido en el artículo 5 bis, apartado 14, y, cuando proceda, con las normas y especificaciones técnicas previstas en el artículo 5 bis, apartado 24, será certificada por organismos de evaluación de la conformidad designados por los Estados miembros.

2.   La certificación de conformidad de las carteras europeas de identidad digital con los requisitos pertinentes de ciberseguridad previstos en el apartado 1 del presente artículo, o partes de ellos, que sean pertinentes para la ciberseguridad, será realizada de conformidad con los esquemas de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (*3) e indicados en los actos de ejecución mencionados en el apartado 6 del presente artículo.

3.   Para los requisitos a que se refiere el apartado 1 del presente artículo que no sean pertinentes para la ciberseguridad y para los requisitos a que se refiere el apartado 1 del presente artículo que sean pertinentes para la ciberseguridad, en la medida en que los esquemas de certificación de la ciberseguridad a que se refiere el apartado 2 del presente artículo no incluyan los requisitos de ciberseguridad pertinentes, o solo lo hagan parcialmente, los Estados miembros establecerán también para dichos requisitos esquemas nacionales de certificación con arreglo a los requisitos establecidos en los actos de ejecución a los que se refiere el apartado 6 del presente artículo. Los Estados miembros transmitirán sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea establecido en virtud del artículo 46 sexies, apartado 1, (en lo sucesivo, “Grupo de Cooperación”). El Grupo de Cooperación podrá emitir dictámenes y recomendaciones.

4.   La certificación en virtud del apartado 1 tendrá una validez máxima de cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane oportunamente, se cancelará la certificación.

5.   El cumplimiento de los requisitos establecidos en el artículo 5 bis del presente Reglamento para las operaciones de tratamiento de datos personales podrá ser certificado con arreglo al Reglamento (UE) 2016/679.

6.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la certificación de las carteras europeas de identidad digital a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

7.   Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

8.   La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 47 por los que se establezcan los criterios específicos que deben satisfacer los organismos de evaluación de la conformidad designados a que se refiere el apartado 1 del presente artículo.

Artículo 5 quinquies. Publicación de una lista de carteras europeas de identidad digital certificadas

1.   Los Estados miembros informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida, de las carteras europeas de identidad digital que se hayan proporcionado de conformidad con el artículo 5 bis y que hayan sido certificadas por los organismos de evaluación de la conformidad a que se refiere el artículo 5 quater, apartado 1. Informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida cuando se cancele alguna certificación y expondrán los motivos de la cancelación.

2.   Sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 18, la información facilitada por los Estados miembros mencionada en el apartado 1 del presente artículo incluirá, como mínimo:

a) el certificado y el informe de evaluación de la certificación de la cartera europea de identidad digital certificada;

b) una descripción del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital;

c) el régimen de supervisión aplicable y la información sobre el régimen de responsabilidades respecto de la parte que proporciona la cartera europea de identidad digital;

d) la autoridad o autoridades responsables del sistema de identificación electrónica;

e) disposiciones relativas a la suspensión o revocación del sistema de identificación electrónica de la autenticación o de las partes afectadas.

3.   A tenor de la información recibida en virtud del apartado 1, la Comisión establecerá, publicará en el Diario Oficial de la Unión Europea y mantendrá en un formato legible por máquina una lista de carteras europeas de identidad digital certificadas.

4.   Todo Estado miembro podrá presentar a la Comisión una solicitud de suprimir de la lista a la que se refiere el apartado 3 una cartera europea de identidad digital y el sistema de identificación electrónica en virtud del cual se proporciona.

5.   Cuando se produzcan cambios en la información facilitada en virtud del apartado 1, el Estado miembro facilitará a la Comisión información actualizada.

6.   La Comisión mantendrá actualizada la lista a que se refiere el apartado 3 mediante la publicación en el Diario Oficial de la Unión Europea de las modificaciones correspondientes de la lista en el plazo de un mes a partir de la recepción de una solicitud con arreglo al apartado 4 o de información actualizada con arreglo al apartado 5.

7.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá los formatos y procedimientos aplicables a efectos de los apartados 1, 4 y 5 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 sexies. Violación de la seguridad de las carteras europeas de identidad digital

1.   Cuando se viole o quede parcialmente comprometida la seguridad de las carteras europeas de identidad digital proporcionadas en virtud del artículo 5 bis, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, o del sistema de identificación electrónica en virtud del cual se proporcionan las carteras europeas de identidad digital de un modo que afecte a su fiabilidad o a la de otras carteras europeas de identidad digital, el Estado miembro que haya proporcionado las carteras europeas de identidad digital suspenderá, sin dilación indebida, la provisión y el uso de dichas carteras.

Cuando la gravedad de la violación o el compromiso de seguridad a que se refiere párrafo primero lo justifique, el Estado miembro retirará sin dilación indebida las carteras europeas de identidad digital.

El Estado miembro informará de ello a los usuarios afectados, a los puntos de contacto únicos designados con arreglo al artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

2.   Si la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo no se subsana en un plazo de tres meses desde la suspensión, el Estado miembro que haya proporcionado las carteras europeas de identidad digital las retirará y revocará su validez. El Estado miembro informará, en consecuencia, de la retirada a los usuarios afectados, a los puntos de contacto únicos designados en virtud del artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

3.   Cuando se haya subsanado la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo, el Estado miembro proveedor restablecerá la provisión y el uso de las carteras europeas de identidad digital e informará sin dilación indebida a los usuarios y partes usuarias afectados, a los puntos únicos de contacto designados en virtud del artículo 46 quater, apartado 1, y a la Comisión.

4.   La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 5 quinquies, sin dilación indebida.

5.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a las medidas a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 septies. Uso transfronterizo de las carteras europeas de identidad digital

1.   Cuando los Estados miembros exijan una identificación y una autenticación electrónicas para acceder a un servicio en línea prestado por un organismo del sector público, también aceptarán las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

2.   Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (*4)— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

3.   Cuando los prestadores de plataformas en línea de muy gran tamaño a que se refiere el artículo 33 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (*5) exijan la autenticación del usuario para acceder a servicios en línea, también aceptarán y facilitarán el uso de las carteras europeas de identidad digital proporcionadas con arreglo al presente Reglamento para la autenticación del usuario, únicamente a petición voluntaria del usuario y en lo que respecta a los datos mínimos necesarios para el servicio en línea específico para el que se solicita la autenticación.

4.   En cooperación con los Estados miembros, la Comisión facilitará la elaboración de códigos de conducta en estrecha colaboración con todas las partes interesadas pertinentes, en particular la sociedad civil, para contribuir a la amplia disponibilidad y la facilidad de uso de las carteras europeas de identidad digital contempladas en el ámbito de aplicación del presente Reglamento y alentar a los prestadores de servicios a ultimar la elaboración de códigos de conducta.

5.   En un plazo de veinticuatro meses a partir de la implantación de las carteras europeas de identidad digital, la Comisión evaluará la demanda, disponibilidad y facilidad de uso de las carteras europeas de identidad digital, teniendo en cuenta criterios como la adopción por los usuarios, la presencia transfronteriza de prestadores de servicios, el desarrollo tecnológico, la evolución de los patrones de uso y la demanda de los usuarios.

6) Antes del artículo 6 se inserta el título siguiente:

«SECCIÓN 2. SISTEMAS DE IDENTIFICACIÓN ELECTRÓNICA».

7) En el artículo 7, la letra g) se sustituye por el texto siguiente:

«g) al menos seis meses antes de la notificación a la que se refiere el artículo 9, apartado 1, el Estado miembro que efectúa la notificación presentará a los demás Estados miembros, a efectos del artículo 12, apartado 5, una descripción de este sistema, de conformidad con las modalidades de procedimiento establecidas en los actos de ejecución adoptados en virtud del artículo 12, apartado 6;».

8) En el artículo 8, apartado 3, el párrafo primero se sustituye por el texto siguiente:

«3.   A más tardar el 18 de septiembre de 2015, teniendo en cuenta las normas internacionales pertinentes, y en los términos del apartado 2, la Comisión establecerá, mediante actos de ejecución, las especificaciones técnicas mínimas, las normas y los procedimientos con referencia a los cuales se especificarán los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica.».

9) En el artículo 9, los apartados 2 y 3 se sustituyen por el texto siguiente:

«2.   La Comisión publicará en el Diario Oficial de la Unión Europea, sin dilación indebida, la lista de los sistemas de identificación electrónica notificados de conformidad con el apartado 1 junto con información básica sobre dichos sistemas.

3.   La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones de la lista a que se hace referencia en el apartado 2 en el plazo de un mes desde la fecha en que se reciba la citada notificación.».

10) El título del artículo 10 se sustituye por el texto siguiente:

«Violación de la seguridad de los sistemas de identificación electrónica».

11) Se inserta el artículo siguiente:

«Artículo 11 bis. Correspondencia transfronteriza de la identidad

1.   Cuando actúen como partes usuarias de servicios transfronterizos, los Estados miembros garantizarán una correspondencia inequívoca de la identidad para las personas físicas que utilicen medios de identificación electrónica notificados o carteras europeas de identidad digital.

2.   Los Estados miembros establecerán medidas técnicas y organizativas para garantizar un elevado nivel de protección de los datos personales utilizados para la correspondencia de la identidad y para evitar la elaboración de perfiles de usuarios.

3.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a los requisitos a que se refiere el apartado 1 del presente artículo por medio de actos de ejecución. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

12) El artículo 12 se modifica como sigue:

a) El título se sustituye por el texto siguiente:

«Interoperabilidad»;

b) el apartado 3 se modifica como sigue:

i) la letra c) se sustituye por el texto siguiente:

«c) facilitarla aplicación de la privacidad y la seguridad desde el diseño.»,

ii) se suprime la letra d);

c) en el apartado 4, la letra d) se sustituye por el texto siguiente:

«d) una referencia a un conjunto mínimo de datos de identificación de la persona necesarios para representar de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica y que está disponible en los sistemas de identificación electrónica;»;

d) los apartados 5 y 6 se sustituyen por el texto siguiente:

«5.   Los Estados miembros llevarán a cabo revisiones inter pares de los sistemas de identificación electrónica incluidos en el ámbito de aplicación del presente Reglamento y que habrán de notificarse en virtud del artículo 9, apartado 1, letra a).

6.   A más tardar el 18 de marzo de 2025, la Comisión fijará, mediante actos de ejecución, las modalidades de procedimiento necesarias para las revisiones inter pares mencionadas en el apartado 5 del presente artículo, con vistas a fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

e) se suprime el apartado 7;

f) el apartado 8 se sustituye por el texto siguiente:

«8.   A más tardar el 18 de septiembre de 2025, a efectos de establecer condiciones uniformes para la ejecución de los requisitos del apartado 1 del presente artículo, la Comisión, sin perjuicio de los criterios establecidos en el apartado 3 del presente artículo y teniendo en cuenta los resultados de la cooperación entre Estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad tal como se establece en el apartado 4 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

13) En el capítulo II se insertan los artículos siguientes:

«Artículo 12 bis. Certificación de los sistemas de identificación electrónica

1.   La certificación de la conformidad de los sistemas de identificación electrónica que vayan a notificarse con los requisitos de ciberseguridad establecidos en el presente Reglamento, incluida la conformidad con los requisitos pertinentes en materia de ciberseguridad establecidos en el artículo 8, apartado 2, en relación con los niveles de seguridad de los sistemas de identificación electrónica, correrá a cargo de organismos de evaluación de la conformidad designados por los Estados miembros.

2.   La certificación en virtud del apartado 1 del presente artículo se realizará con arreglo a un esquema de certificación de la ciberseguridad en virtud del Reglamento (UE) 2019/881 o partes de dicho esquema, en la medida en que el certificado de ciberseguridad o partes de este abarquen dichos requisitos de ciberseguridad.

3.   La certificación en virtud del apartado 1 tendrá una validez de hasta cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane en un plazo de tres meses desde dicha detección, se cancelará la certificación.

4.   No obstante lo dispuesto en el apartado 2, los Estados miembros podrán solicitar, de conformidad con dicho apartado, información adicional al Estado miembro que efectúa la notificación sobre los sistemas de identificación electrónica, o parte de ellos, certificados.

5.   La revisión inter pares de los sistemas de identificación electrónica a que se refiere el artículo 12, apartado 5, no se aplicará a sistemas de identificación electrónica, ni a partes de ellos, certificados de conformidad con el apartado 1 del presente artículo. Los Estados miembros podrán utilizar un certificado o una declaración de conformidad, expedida con arreglo a un esquema de certificación pertinente o partes de dichos esquemas, con los requisitos que no estén relacionados con la ciberseguridad establecidos en el artículo 8, apartado 2, en relación con el nivel de seguridad de los sistemas de identificación electrónica.

6.   Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

Artículo 12 ter. Acceso a características de equipo y programa informático

Cuando los proveedores de carteras europeas de identidad digital y los emisores de los medios de identificación electrónica notificados que actúen a título comercial o profesional y utilicen servicios básicos de plataforma según se definen en el artículo 2, punto 2, del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (*6), con el fin de ofrecer servicios de cartera europea de identidad digital y medios de identificación electrónica a usuarios finales, o en el marco de tal prestación, sean usuarios profesionales según se define en el artículo 2, apartado 21, de dicho Reglamento, los guardianes de acceso les permitirán, en particular, la interoperabilidad efectiva con las mismas características de sistema operativo, de equipo y o programa informático, así como el acceso a dichas características a efectos de interoperabilidad. La interoperabilidad efectiva y el acceso se permitirán de forma gratuita y con independencia de que las características de equipo y programa informático formen parte del sistema operativo, a las que puede acceder o que utiliza el guardián de acceso cuando presta tales servicios, en el sentido del artículo 6, apartado 7, del Reglamento (UE) 2022/1925. El presente artículo se entenderá sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 14, del presente Reglamento.

14) En el artículo 13, el apartado 1 se sustituye por el texto siguiente:

«1.   No obstante lo dispuesto en el apartado 2 del presente artículo y sin perjuicio del Reglamento (UE) 2016/679, los prestadores de servicios de confianza serán responsables de los perjuicios causados de forma intencional o por negligencia a cualquier persona física o jurídica debido al incumplimiento de las obligaciones establecidas en el presente Reglamento. Toda persona física o jurídica que haya sufrido perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento por parte de un prestador de servicios de confianza tendrá derecho a solicitar una indemnización de conformidad con el Derecho de la Unión y nacional.

La carga de la prueba de la intencionalidad o la negligencia de un prestador no cualificado de servicios de confianza corresponderá a la persona física o jurídica que alegue los perjuicios a que se refiere el párrafo primero.

Se presumirá la intencionalidad o la negligencia de un prestador cualificado de servicios de confianza salvo cuando ese prestador cualificado de servicios de confianza demuestre que los perjuicios a que se refiere el párrafo primero se produjeron sin intencionalidad ni negligencia por su parte.».

15) Los artículos 14, 15 y 16 se sustituyen por el texto siguiente:

«Artículo 14. Aspectos internacionales

1.   Los servicios de confianza prestados por prestadores de servicios de confianza establecidos en un tercer país o por una organización internacional serán reconocidos como legalmente equivalentes a los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión si los servicios de confianza originarios del tercer país o los de la organización internacional son reconocidos mediante actos de ejecución o un acuerdo celebrado entre la Unión y el tercer país o la organización internacional en virtud del artículo 218 del TFUE.

Los actos de ejecución a que se refiere el párrafo primero se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

2.   Los actos de ejecución y los acuerdos a que se refiere el apartado 1 garantizarán que los prestadores de servicios de confianza del tercer país de que se trate o las organizaciones internacionales y los servicios de confianza que prestan cumplen los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en la Unión y a los servicios de confianza cualificados que prestan. En particular, los terceros países y las organizaciones internacionales establecerán, mantendrán y publicarán una lista de confianza de los prestadores reconocidos de servicios de confianza.

3.   Los acuerdos a que se refiere el apartado 1 garantizarán que los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión sean reconocidos como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios en el tercer país o por la organización internacional con los que se celebra el acuerdo.

Artículo 15. Accesibilidad para las personas con discapacidad y necesidades especiales

La provisión de medios de identificación electrónica, así como la prestación de servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, deberán estar disponibles en un lenguaje claro y comprensible, de conformidad con la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad y con los requisitos de accesibilidad de la Directiva (UE) 2019/882, beneficiando así también a las personas que experimentan limitaciones funcionales, como las personas de edad avanzada y las personas con un acceso limitado a las tecnologías digitales.

Artículo 16. Sanciones

1.   Sin perjuicio de lo dispuesto en el artículo 31 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (*7), los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones del presente Reglamento. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

2.   Los Estados miembros garantizarán que el incumplimiento del presente Reglamento por parte de prestadores cualificados y no cualificados de servicios de confianza se sancione con multas administrativas de un máximo de, al menos:

a) 5 000 000 EUR cuando el prestador de servicios de confianza sea una persona física, o

b) 5 000 000 EUR o una cuantía equivalente al 1 % del volumen de negocios anual total a nivel mundial de la empresa a la que perteneciera el prestador de servicios de confianza durante el ejercicio financiero anterior al año en que se haya producido el incumplimiento, optándose por la de mayor cuantía, cuando el prestador de servicios de confianza sea una persona jurídica.

3.   En función del ordenamiento jurídico de los Estados miembros, las normas relativas a las multas administrativas podrán aplicarse de tal modo que la incoación de la multa corresponda al organismo de supervisión competente, y su imposición a los órganos jurisdiccionales nacionales competentes. La aplicación de tales normas en estos Estados miembros garantizará que estas vías de recurso sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas directamente por las autoridades de control.

16) En el capítulo III, sección 2, el título se sustituye por el texto siguiente:

«Servicios de confianza no cualificados».

17) Se suprimen los artículos 17 y 18.

18) En el capítulo III, sección 2, se inserta el artículo siguiente:

«Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza

1.   Los prestadores no cualificados de servicios de confianza que prestan servicios de confianza no cualificados:

a) contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza no cualificado que, no obstante lo dispuesto en el artículo 21de la Directiva (UE) 2022/2555, deberá incluir, como mínimo, las medidas relacionadas con:

i) procedimientos de registro para un servicio de confianza e incorporación a este,

ii) controles administrativos o de procedimiento necesarios para prestar servicios de confianza,

iii) gestión e implantación de servicios de confianza;

b) notificarán al organismo de supervisión, a las personas afectadas identificables, al público si es de interés público y, cuando proceda, a otras autoridades competentes pertinentes cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra a), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar a las veinticuatro horas de haber tenido conocimiento de cualquier violación de la seguridad o interrupción.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para el apartado 1, letra a), del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando se observen dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

19) El artículo 20 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   Los prestadores cualificados de servicios de confianza serán auditados al menos cada veinticuatro meses, corriendo con los gastos que ello genere, por un organismo de evaluación de la conformidad. La auditoría confirmará que tanto los prestadores cualificados de servicios de confianza como los servicios de confianza cualificados que prestan cumplen los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555. Los prestadores cualificados de servicios de confianza enviarán el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.»;

b) Se insertan los apartados siguientes:

«1 bis.   Los prestadores cualificados de servicios de confianza informarán al organismo de supervisión al menos un mes antes de cualquier auditoría prevista y permitirán la participación del organismo de supervisión en calidad de observador.

1 ter.   Los Estados miembros notificarán a la Comisión, sin dilación indebida, los nombres, direcciones y datos de acreditación de los organismos de evaluación de la conformidad a que se refiere el apartado 1, así como cualquier modificación posterior de los mismos. La Comisión pondrá dicha información a disposición de todos los Estados miembros.»;

c) los apartados 2, 3 y 4 se sustituyen por el texto siguiente:

«2.   Sin perjuicio de lo dispuesto en el apartado 1, el organismo de supervisión podrá en cualquier momento auditar o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, con cargo a dichos prestadores cualificados de servicios de confianza, para confirmar que estos y los servicios de confianza cualificados prestados cumplen los requisitos establecidos en el presente Reglamento. En caso de posible vulneración de las normas sobre protección de datos personales, el organismo de supervisión informará, sin dilación indebida, a las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679.

3.   Cuando el prestador cualificado de servicios de confianza incumpla cualquiera de los requisitos que se establecen en el presente Reglamento, el organismo de supervisión le exigirá subsanar dicho incumplimiento dentro de un plazo determinado, si procede.

Si el prestador no subsanase el incumplimiento, en su caso, dentro del plazo fijado por el organismo de supervisión, este, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 bis.   Cuando las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en el artículo 21 de dicha Directiva, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 ter.   Cuando las autoridades de control establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en dicho Reglamento, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 quater.   El organismo de supervisión comunicará al prestador cualificado de servicios de confianza la retirada de su cualificación o de la cualificación del servicio de que se trate. El organismo de supervisión informará al organismo notificado con arreglo al artículo 22, apartado 3, del presente Reglamento a efectos de actualizar las listas de confianza a que se refiere el apartado 1 de dicho artículo y a la autoridad competente designada o establecida en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555.

4.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, especificaciones y procedimientos para lo siguiente:

a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;

b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;

c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.

Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

20) El artículo 21 se modifica como sigue:

a) los apartados 1 y 2 se sustituyen por el texto siguiente:

«1.   Cuando los prestadores de servicios de confianza tengan intención de iniciar la prestación de un servicio de confianza cualificado, notificarán al organismo de supervisión su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme el cumplimiento de los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555.

2.   El organismo de supervisión verificará si el prestador de servicios de confianza y los servicios de confianza que presta cumplen los requisitos establecidos en el presente Reglamento, y en particular, los requisitos aplicables a los prestadores cualificados de servicios de confianza y a los servicios de confianza cualificados que estos prestan.

Con el fin de verificar que el prestador de servicios de confianza cumple los requisitos establecidos en el artículo 21 de la Directiva (UE) 2022/2555, el organismo de supervisión solicitará a las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de dicha Directiva que emprendan acciones de supervisión en ese sentido y que proporcionen información sobre los resultados de dichas acciones sin dilación indebida y en cualquier caso en el plazo de dos meses desde la recepción de dicha solicitud. Si la verificación no ha concluido en el plazo de dos meses desde la notificación, dichas autoridades competentes informarán al organismo de supervisión especificando los motivos de la dilación y el plazo previsto para concluir la verificación.

Si el organismo de supervisión concluye que el prestador de servicios de confianza y los servicios de confianza que este presta cumplen los requisitos establecidos en el presente Reglamento, el organismo de supervisión concederá la cualificación al prestador de servicios de confianza y a los servicios de confianza que este presta y lo comunicará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualizar las listas de confianza previstas en el artículo 22, apartado 1, a más tardar tres meses después de la notificación efectuada de conformidad con el apartado 1 del presente artículo.

Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

b) el apartado 4 se sustituye por el texto siguiente:

«4.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos de la notificación y la verificación a efectos de lo dispuesto en los apartados 1 y 2 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

21) El artículo 24 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   Al expedir un certificado cualificado o una declaración electrónica cualificada de atributos, el prestador cualificado de servicios de confianza verificará la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos.

1 bis.   La verificación de la identidad a que se refiere el apartado 1 se llevará a cabo por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o de una combinación de los mismos cuando sea necesario de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

a) a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a), c) o d);

c) utilizando otros métodos de identificación que garanticen la identificación de la persona con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

d) a través de la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.

1 ter.   La verificación de los atributos a que se refiere el apartado 1 se llevará a cabo, por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o, cuando sea necesario, de una combinación de estos, de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

a) a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con el apartado 1 bis, letra a), c) o d);

c) por medio de una declaración electrónica cualificada de atributos;

d) utilizando otros métodos que garanticen la verificación de los atributos con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

e) mediante la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.»;

«1 quater.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la verificación de la identidad y los atributos de conformidad con los apartados 1, 1 bis y 1 ter del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.»;

b) el apartado 2 se modifica como sigue:

i) la letra a) se sustituye por el texto siguiente:

«a) informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados al menos un mes antes de llevarlo a cabo, y con una antelación de al menos tres meses en caso de que tengan intención de cesar tales actividades;»;

ii) las letras d) y e) se sustituyen por el texto siguiente:

«d) antes de entrar en una relación contractual, informarán, de manera clara, comprensible y fácilmente accesible, en un espacio públicamente accesible y de forma individual, a cualquier persona que desee utilizar un servicio de confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;

e) utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustenten, en particular utilizando técnicas criptográficas adecuadas;»,

iii) se insertan los puntos siguientes:

«f bis) No obstante lo dispuesto en el artículo 21 de la Directiva (UE) 2022/2555, contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza cualificado, en particular al menos medidas relacionadas con lo siguiente:

i) procedimientos de registro en un servicio e incorporación a este,

ii) controles administrativos o de procedimiento,

iii) gestión e implantación de servicios;

f ter) notificarán al organismo de supervisión, a las personas afectadas identificables, a otros organismos competentes pertinentes cuando proceda y, a solicitud del organismo de supervisión, al público si es de interés público, cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra f bis), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar veinticuatro horas después de haberse producido el incidente;»,

iv) las letras g), h) e i) se sustituyen por el texto siguiente:

«g) adoptarán medidas adecuadas contra la falsificación, el robo o la apropiación indebida de datos o contra la eliminación, alteración o bloqueo de dichos datos sin tener derecho a ello;

h) registrarán y mantendrán accesible, durante el tiempo que sea necesario cuando hayan cesado las actividades del prestador cualificado de servicios de confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador cualificado de servicios de confianza, al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;

i) contarán con un plan de cese actualizado para garantizar la continuidad del servicio de conformidad con las disposiciones que sean verificadas por el organismo de supervisión en virtud del artículo 46 ter, apartado 4, letra i);»,

v) se suprime la letra j),

vi) se añade el párrafo siguiente:

«El organismo de supervisión podrá solicitar información adicional a la información notificada en virtud del párrafo primero, letra a), o el resultado de una evaluación de la conformidad y podrá condicionar la concesión de la autorización para aplicar los cambios previstos a los servicios de confianza cualificados. Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

c) el apartado 5 se sustituye por el texto siguiente:

«4 bis.   Los apartados 3 y 4 se aplicarán, en consecuencia, a la revocación de declaraciones electrónicas cualificadas de atributos.

4 ter.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 47 por el que se establecen las medidas adicionales mencionadas en el apartado 2, punto f bis) del presente artículo.

5.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables a los requisitos a que se refiere el apartado 2, del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente apartado cuando se observen dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

22)  En el capítulo III, sección 3, se añade el artículo siguiente:

«Artículo 24 bis. Reconocimiento de servicios de confianza cualificados

1.   Las firmas electrónicas cualificadas basadas en un certificado cualificado expedido en un Estado miembro y los sellos electrónicos cualificados basados en un certificado cualificado expedido en un Estado miembro serán reconocidos, respectivamente, como firmas electrónicas cualificadas y sellos electrónicos cualificados en todos los demás Estados miembros.

2.   Los dispositivos cualificados de creación de firma electrónica y los dispositivos cualificados de creación de sello electrónico certificados en un Estado miembro serán reconocidos, respectivamente, como dispositivos cualificados de creación de firma electrónica y dispositivos cualificados de creación de sello electrónico en todos los demás Estados miembros.

3.   Un certificado cualificado de firma electrónica, un certificado cualificado de sello electrónico, un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia proporcionados en un Estado miembro serán reconocidos, respectivamente, como certificado cualificado de firma electrónica, certificado cualificado de sello electrónico, servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia en todos los demás Estados miembros.

4.   Un servicio de validación cualificado de firmas electrónicas cualificadas y un servicio de validación cualificado de sellos electrónicos cualificados prestado en un Estado miembro serán reconocidos, respectivamente, como servicio de validación cualificado de firmas electrónicas cualificadas y servicio de validación cualificado de sellos electrónicos cualificados en todos los demás Estados miembros.

5.   Un servicio cualificado de conservación de firmas electrónicas cualificadas y un servicio cualificado de conservación de sellos electrónicos cualificados prestados en un Estado miembro serán reconocidos, respectivamente, como servicio cualificado de conservación de firmas electrónicas cualificadas y servicio cualificado de conservación de sellos electrónicos cualificados en todos los demás Estados miembros.

6.   Un sello cualificado de tiempo electrónico proporcionado en un Estado miembro será reconocido como sello cualificado de tiempo electrónico en todos los demás Estados miembros.

7.   Un certificado cualificado de autenticación de sitio web expedido en un Estado miembro será reconocido como certificado cualificado de autenticación de sitio web en cualquier otro Estado miembro.

8.   Un servicio cualificado de entrega electrónica certificada proporcionado en un Estado miembro será reconocido como servicio cualificado de entrega electrónica certificada en todos los demás Estados miembros.

9.   Una declaración electrónica cualificada de atributos expedida en un Estado miembro será reconocida como declaración electrónica cualificada de atributos en todos los demás Estados miembros.

10.   Un servicio cualificado de archivo electrónico prestado en un Estado miembro será reconocido como servicio cualificado de archivo electrónico en todos los demás Estados miembros.

11.   Un libro mayor electrónico cualificado proporcionado en un Estado miembro será reconocido como libro mayor electrónico cualificado en todos los demás Estados miembros.».

23) En el artículo 25, se suprime el apartado 3.

24) El artículo 26 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2.   A más tardar el 21 de mayo de 2026, la Comisión evaluará sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para firmas electrónicas avanzadas. Sobre la base de dicha evaluación, la Comisión puede adoptar tales actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a las firmas electrónicas avanzadas cuando la firma electrónica avanzada sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

25) En el artículo 27, se suprime el apartado 4.

26) En el artículo 28, el apartado 6 se sustituye por el texto siguiente:

«6.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de firma electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando el certificado cualificado de firma electrónica sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

27) En el artículo 29, se inserta el apartado siguiente:

«1 bis.   La creación o la gestión de datos de creación de firma electrónica o la duplicación de estos datos de creación de firma con fines de copia de seguridad se llevará a cabo únicamente en nombre del firmante, a solicitud de este, y por un prestador cualificado de servicios de confianza que preste un servicio de confianza cualificado para la gestión de un dispositivo cualificado de creación de firma electrónica a distancia.».

28) Se inserta el artículo siguiente:

«Artículo 29 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia

1.   La gestión de dispositivos cualificados de creación de firma electrónica a distancia como servicio cualificado se llevará a cabo únicamente por un prestador cualificado de servicios de confianza que:

a) cree o gestione datos de creación de firmas electrónicas en nombre del signatario;

b) no obstante lo dispuesto en el punto 1, letra d), del anexo II, duplique los datos de creación de firmas electrónicas exclusivamente con fines de copia de seguridad, siempre y cuando se cumplan los requisitos siguientes:

i) la seguridad de los conjuntos de datos duplicados debe ser del mismo nivel que el previsto para los conjuntos de datos originales,

ii) el número de conjuntos de datos duplicados no debe superar el mínimo necesario para garantizar la continuidad del servicio;

c) cumpla todos los requisitos definidos en el informe de certificación del dispositivo cualificado específico de creación de firmas electrónicas a distancia expedido en virtud del artículo 30.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

29) En el artículo 30, se inserta el apartado siguiente:

«3 bis.   La certificación a que se refiere el apartado 1 tendrá una validez máxima de cinco años, siempre que se lleve a cabo una evaluación de las vulnerabilidades cada dos años. Cuando se detecten vulnerabilidades y no se subsanen, se cancelará la certificación.».

30) En el artículo 31, el apartado 3 se sustituye por el texto siguiente:

«3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, por medio de actos de ejecución, los formatos y procedimientos aplicables a efectos de lo dispuesto en el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

31) El artículo 32 se modifica como sigue:

a) en el apartado 1 se añade el párrafo siguiente:

«Se presumirá el cumplimiento de los requisitos establecidos en el párrafo primero del presente apartado cuando la validación de firmas electrónicas cualificadas sea conforme a las normas, las especificaciones y los procedimientos a que se refiere el apartado 3.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas cualificadas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

32) Se inserta el artículo siguiente:

«Artículo 32 bis. Requisitos aplicables a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados

1.   El proceso de validación de una firma electrónica avanzada basada en un certificado cualificado confirmará la validez de dicha firma siempre que:

a) el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b) el certificado cualificado fuera expedido por un prestador cualificado de servicios de confianza y fuera válido en el momento de la firma;

c) los datos de validación de la firma correspondan a los datos proporcionados a la parte usuaria;

d) el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e) en caso de que se utilice un seudónimo, la utilización de este se indique claramente a la parte usuaria en el momento de la firma;

f) la integridad de los datos firmados no se haya visto comprometida;

g) se hayan cumplido los requisitos previstos en el artículo 26 en el momento de la firma.

2.   El sistema utilizado para validar la firma electrónica avanzada basada en un certificado cualificado ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas avanzadas basadas en certificados cualificados. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando la validación de firmas electrónicas avanzadas basadas en certificados cualificados sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

33) En el artículo 33, el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables al servicio de validación cualificado a que se refiere el apartado 1 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando el servicio de validación cualificado para firmas electrónicas cualificadas sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

34) El artículo 34 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas sean conformes a los procedimientos, las especificaciones y las normas a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.».

35) En el artículo 35, se suprime el apartado 3.

36) El artículo 36 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2.   A más tardar el 21 de mayo de 2026, la Comisión realizará una evaluación sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para sellos electrónicos avanzados. Sobre la base de dicha evaluación, la Comisión puede adoptar dichos actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a los sellos electrónicos avanzados cuando el sello electrónico avanzado sea conforme a dichos procedimientos, especificaciones y normas. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

37) En el artículo 37, se suprime el apartado 4.

38) En el artículo 38, el apartado 6 se sustituye por el texto siguiente:

«6.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de sello electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando el certificado cualificado de sello electrónico sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

39) Se inserta el artículo siguiente:

«Artículo 39 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia

El artículo 29 bis se aplicará mutatis mutandis a los servicios cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia.».

40) En el capítulo III, sección 5 se inserta el artículo siguiente:

«Artículo 40 bis. Requisitos aplicables a la validación de los sellos electrónicos avanzados basados en certificados cualificados

El artículo 32 bis se aplicará mutatis mutandis a la validación de los sellos electrónicos avanzados basados en certificados cualificados.».

41) En el artículo 41, se suprime el apartado 3.

42) El artículo 42 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la vinculación de la fecha y hora con los datos y exactitud de la fuente de información temporal sea conforme a las normas, las especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la vinculación de la fecha y hora con los datos y para el establecimiento de la exactitud de las fuentes de información temporal. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

43) El artículo 44 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los procesos de envío y recepción de datos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

c) se insertan los apartados siguientes:

«2 bis.   Los prestadores de servicios cualificados de entrega electrónica certificada podrán acordar la interoperabilidad entre los servicios cualificados de entrega electrónica certificada que presten. Dicho marco de interoperabilidad cumplirá los requisitos establecidos en el apartado 1 y dicho cumplimiento será confirmado por un organismo de evaluación de la conformidad.

2 ter.   La Comisión podrá establecer, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables al marco de interoperabilidad a que se refiere el apartado 2 bis del presente artículo. Las especificaciones técnicas y el contenido de las normas serán rentables y proporcionados. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

44)El artículo 45 se sustituye por el texto siguiente:

«Artículo 45. Requisitos aplicables a los certificados cualificados de autenticación de sitios web

1.   Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.

1 bis.   Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.

1 ter.   Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

45) Se inserta al artículo siguiente:

«Artículo 45 bis. Medidas cautelares en materia de ciberseguridad

1.   Los proveedores de navegadores web no adoptarán ninguna medida contraria a sus obligaciones establecidas en el artículo 45, en particular los requisitos de reconocer los certificados cualificados de autenticación de sitios web y de mostrar los datos de identificación de la persona proporcionados de un modo que sea fácil de consultar.

2.   No obstante lo dispuesto en el apartado 1 y solo en caso de preocupaciones justificadas relacionadas con violaciones de la seguridad o la pérdida de integridad de un certificado o conjunto de certificados identificados, los proveedores de navegadores web podrán adoptar medidas cautelares en relación con dicho certificado o conjunto de certificados.

3.   Cuando se adopten medidas, los proveedores de navegadores web notificarán, en virtud del apartado 2, sus preocupaciones por escrito, sin demora indebida, junto con una descripción de las medidas adoptadas para mitigarlas, a la Comisión, al organismo de supervisión competente, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya expedido dicho certificado o conjunto de certificados. Tras la recepción de dicha notificación, el organismo de supervisión competente expedirá un acuse de recibo al proveedor del navegador web en cuestión.

4.   El organismo de supervisión competente investigará las cuestiones planteadas en la notificación, de conformidad con el artículo 46 ter, apartado 4, letra k). Cuando el resultado de la investigación no implique la retirada de la cualificación del certificado, el organismo de supervisión informará de ello al proveedor del navegador web y solicitará que ese proveedor ponga fin a las medidas cautelares a que se refiere el apartado 2 del presente artículo.».

46) En el capítulo III se insertan las secciones siguientes:

«SECCIÓN 9. DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS

Artículo 45 ter. Efectos jurídicos de la declaración electrónica de atributos

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una declaración electrónica de atributos por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a las declaraciones electrónicas cualificadas de atributos.

2.   Las declaraciones electrónicas cualificadas de atributos y las declaraciones de atributos expedidas por, o en nombre de, un organismo del sector público responsable de una fuente auténtica tendrán los mismos efectos jurídicos que las declaraciones lícitamente expedidas en papel.

3.   Una declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica en un Estado miembro será reconocida en todos los Estados miembros como declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica.

Artículo 45 quater. Declaración electrónica de atributos en servicios públicos

Cuando el Derecho nacional exija una identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para acceder a un servicio en línea prestado por un organismo del sector público, los datos de identificación de la persona contenidos en la declaración electrónica de atributos no sustituirán a la identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para la identificación electrónica a menos que el Estado miembro lo autorice expresamente. En tal caso, también se aceptarán las declaraciones electrónicas cualificadas de atributos procedentes de otros Estados miembros.

Artículo 45 quinquies. Requisitos aplicables a la declaración electrónica cualificada de atributos

1.   La declaración electrónica cualificada de atributos cumplirá los requisitos establecidos en el anexo V.

2.   La evaluación del cumplimiento de los requisitos establecidos en el anexo V se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 5 del presente artículo.

3.   Las declaraciones electrónicas cualificadas de atributos no estarán sometidas a ningún requisito obligatorio además de los requisitos establecidos en el anexo V.

4.   Si una declaración electrónica cualificada de atributos ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para las declaraciones electrónicas cualificadas de atributos. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 sexies. Cotejo de atributos con fuentes auténticas

1.   En un plazo de veinticuatro meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, los Estados miembros garantizarán que, al menos para los atributos que se enumeran en el anexo VI, cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público, se adopten medidas para permitir que los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verifiquen dichos atributos por medios electrónicos, a petición del usuario, de conformidad con el Derecho de la Unión o nacional.

2.   A más tardar el 21 de noviembre de 2024, la Comisión, teniendo en cuenta las normas internacionales aplicables, mediante actos de ejecución, establecerá una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos en lo que respecta al catálogo de atributos, así como a los sistemas de declaración de atributos y a los procedimientos de verificación de declaraciones electrónicas cualificadas de atributos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución serán coherentes con el acto de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 septies. Requisitos aplicables a la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este

1.   Las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en su nombre cumplirán los requisitos siguientes:

a) los establecidos en el anexo VII;

b) el certificado cualificado que respalde la firma electrónica cualificada o el sello electrónico cualificado del organismo del sector público a que se refiere el artículo 3, punto 46, identificado como el emisor a que se refiere el anexo VII, letra b), contendrá un conjunto específico de atributos certificados en un formato adecuado para el tratamiento automático que:

i) indicará que el organismo emisor está establecido de conformidad con el Derecho de la Unión o nacional, bien como responsable de la fuente auténtica con arreglo a la cual se expide la declaración electrónica de atributos, bien como el organismo designado para actuar en su nombre,

ii) proporcionará un conjunto de datos que representen inequívocamente la fuente auténtica a que se refiere el inciso i), y

iii) determinará el Derecho de la Unión o nacional a que se refiere el inciso i).

2.   El Estado miembro en el que estén establecidos los organismos del sector público a que se refiere el artículo 3, punto 46, velará por que los organismos del sector público que expidan declaraciones electrónicas de atributos cumplan un nivel de fiabilidad equivalente al de los prestadores cualificados de servicios de confianza de conformidad con el artículo 24.

3.   Los Estados miembros notificarán a la Comisión los organismos del sector público a que se refiere el artículo 3, punto 46. Dicha notificación incluirá un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme que se cumplen los requisitos establecidos en los apartados 1, 2 y 6 del presente artículo. La Comisión pondrá a disposición del público, a través de un canal seguro, la información de los organismos del sector público a que se refiere el artículo 3, punto 46, en una forma firmada o sellada electrónicamente adecuada para el tratamiento automático.

4.   Si una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y su estado será irreversible.

5.   Se considerará que una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este cumple los requisitos establecidos en el apartado 1 del presente artículo cuando sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 6.

6.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica o en nombre de este. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

7.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para el apartado 3 del presente artículo. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

8.   Los organismos del sector público a que se refiere el artículo 3, punto 46, que expidan declaraciones electrónicas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen de conformidad con el artículo 5 bis.

Artículo 45 octies. Emisión de declaraciones electrónicas de atributos a las carteras europeas de identidad digital

1.   Los prestadores de declaraciones electrónicas de atributos brindarán a los usuarios de carteras europeas de identidad digital la posibilidad de solicitar, obtener, almacenar y gestionar la declaración electrónica de atributos independientemente del Estado miembro en el que se proporcione la cartera europea de identidad digital.

2.   Los prestadores de declaraciones electrónicas cualificadas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen con arreglo al artículo 5 bis.

Artículo 45 nonies. Normas adicionales para la prestación de servicios de declaración electrónica de atributos

1.   Los prestadores de servicios cualificados y no cualificados de declaración electrónica de atributos se abstendrán de combinar datos personales relacionados con la prestación de dichos servicios con datos personales obtenidos a través de otros servicios que ofrezcan ellos o sus socios comerciales.

2.   Se establecerá una separación lógica entre los datos personales relacionados con la prestación de servicios de declaración electrónica de atributos y otros datos que obren en poder del prestador de declaraciones electrónicas de atributos.

3.   Los prestadores de servicios de declaraciones electrónicas cualificadas de atributos llevarán a cabo la prestación de dichos servicios de confianza cualificados de manera funcionalmente separada de otros servicios que presten.

SECCIÓN 10. SERVICIOS DE ARCHIVO ELECTRÓNICO

Artículo 45 decies

Efecto jurídico de los servicios de archivo electrónico

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a los datos electrónicos ni a los documentos electrónicos conservados mediante un servicio de archivo electrónico por el mero hecho de que estén en formato electrónico o no estén conservados mediante un servicio cualificado de archivo electrónico.

2.   Los datos electrónicos y documentos electrónicos conservados mediante un servicio cualificado de archivo electrónico gozarán de la presunción de su integridad y origen durante el período de conservación por el prestador cualificado de servicios de confianza.

Artículo 45 undecies. Requisitos aplicables a los servicios cualificados de archivo electrónico

1.   Los servicios cualificados de archivo electrónico cumplirán los requisitos siguientes:

a) ser prestados por prestadores cualificados de servicios de confianza;

b) utilizar procedimientos y tecnologías capaces de asegurar la durabilidad y legibilidad de los datos y documentos electrónicos más allá del período de validez tecnológica y, al menos, durante el período de conservación legal o contractual, manteniendo al mismo tiempo su integridad y la exactitud de su origen;

c) garantizar que dichos datos y documentos electrónicos se conserven de tal manera que queden protegidos contra su pérdida o alteración, excepto en el caso de los cambios relativos a su soporte o formato electrónico;

d) permitir que las partes usuarias autorizadas reciban de forma automatizada un informe que confirme que los datos o documentos electrónicos recuperados de un archivo electrónico cualificado gozan de la presunción de integridad desde el inicio del período de conservación hasta el momento de su recuperación.

El informe a que se refiere el párrafo primero, letra d), se proporcionará de manera fiable y eficiente e incluirá la firma electrónica cualificada o el sello electrónico cualificado del prestador del servicio cualificado de archivo electrónico.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los servicios cualificados de archivo electrónico. Se presumirá el cumplimiento de los requisitos aplicables a los servicios cualificados de archivo electrónico cuando un servicio cualificado de archivo electrónico sea conforme a dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 11. LIBROS MAYORES ELECTRÓNICOS

Artículo 45 duodecies. Efectos jurídicos de los libros mayores electrónicos

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un libro mayor electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a los libros mayores electrónicos cualificados.

2.   Los registros de datos contenidos en un libro mayor electrónico cualificado gozarán de la presunción de unicidad y exactitud de su orden cronológico secuencial y de su integridad.

Artículo 45 terdecies. Requisitos aplicables a los libros mayores electrónicos cualificados

1.   Un libro mayor electrónico cualificado cumplirá los requisitos siguientes:

a) estar creado y gestionado por uno o más prestadores cualificados de servicios de confianza;

b) establecer el origen de los registros de datos en el libro mayor;

c) garantizar la unicidad del orden cronológico secuencial de los registros de datos en el libro mayor;

d) grabar datos de modo que sea posible detectar de forma inmediata cualquier modificación posterior de estos, garantizando su integridad a lo largo del tiempo.

2.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando un libro mayor electrónico sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 3.

3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los requisitos a que se refiere el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

47) Se inserta el capítulo siguiente:

«CAPÍTULO IV bis. MARCO DE GOBERNANZA

Artículo 46 bis. Supervisión del marco de la cartera europea de identidad digital

1.   Los Estados miembros designarán uno o más organismos de supervisión establecidos en su territorio.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones de forma eficaz, eficiente e independiente.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos de supervisión designados en virtud del apartado 1, así como cualquier modificación posterior de los mismos. La Comisión publicará una lista de los organismos de supervisión notificados.

3.   Las funciones de los organismos de supervisión designados en virtud del apartado 1 serán las siguientes:

a) supervisar a los proveedores de carteras europeas de identidad digital establecidos en el Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos proveedores y las carteras europeas de identidad digital que proporcionan cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los proveedores de carteras europeas de identidad digital establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se les haya informado de que los proveedores o las carteras europeas de identidad digital que proporcionan infringen el presente Reglamento.

4.   Las tareas de los organismos de supervisión designados s en virtud del apartado 1 incluirán, en concreto, las siguientes:

a) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

b) solicitar la información necesaria para controlar el cumplimiento del presente Reglamento;

c) informar a las autoridades competentes pertinentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de los Estados miembros de que se trate de cualquier violación significativa de la seguridad o la pérdida de integridad de la que tengan conocimiento en el desempeño de sus funciones y, en caso de violación significativa de la seguridad o la pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único designado con arreglo al artículo 8, apartado 3, de la Directiva (UE) 2022/2555 del Estado miembro de que se trate y a los puntos de contacto únicos designados de conformidad con el artículo 46 quater, apartado 1, del presente Reglamento en los demás Estados miembros de que se trate, e informar al público o exigir a los proveedores de carteras europeas de identidad digital que lo hagan en caso de que el organismo de supervisión determine que la divulgación de la violación de la seguridad o la pérdida de integridad reviste interés público;

d) emprender inspecciones in situ y actividades de supervisión externa;

e) requerir que los proveedores de carteras europeas de identidad digital corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

f) suspender o cancelar el registro y la inclusión de las partes usuarias en el mecanismo a que se refiere el artículo 5 ter, apartado 7, en caso de uso ilegal o fraudulento de la cartera europea de identidad digital;

g) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas sin dilación indebida en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

5.   Cuando el organismo de supervisión designado en virtud del apartado 1 exija al proveedor de una cartera europea de identidad digital que subsane cualquier incumplimiento de los requisitos establecidos en el presente Reglamento de conformidad con el apartado 4, letra e), y dicho proveedor no actúe en consecuencia y, si procede, dentro del plazo fijado por dicho organismo de supervisión, el organismo de supervisión designado en virtud del apartado 1, teniendo en cuenta, en particular, el alcance, la duración y las consecuencias de dicho incumplimiento, podrá ordenar al proveedor que suspenda o cese la provisión de la cartera europea de identidad digital. El organismo de supervisión informará a los organismos de supervisión de otros Estados miembros, a la Comisión, a las partes usuarias y a los usuarios de la cartera europea de identidad digital, sin demora indebida, de la decisión de exigir la suspensión o el cese de la provisión de la cartera europea de identidad digital.

6.   A más tardar el 31 de marzo de cada año, cada organismo de supervisión designado en virtud del apartado 1 presentará a la Comisión un informe sobre las principales actividades que haya llevado a cabo en el año natural anterior. La Comisión pondrá dichos informes anuales a disposición del Parlamento Europeo y del Consejo.

7.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos para el informe a que se refiere el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 ter. Supervisión de los servicios de confianza

1.   Los Estados miembros designarán un organismo de supervisión establecido en su territorio o designarán, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en ese otro Estado miembro. Dicho organismo de supervisión será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación en lo que respecta a los servicios de confianza.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de sus organismos de supervisión, designados en virtud del apartado 1, así como cualquier modificación posterior a este respecto. La Comisión publicará una lista de los organismos de supervisión notificados.

3.   La función de los organismos de supervisión designados en virtud del apartado 1 será la siguiente:

a) supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se le informe de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos incumplen presuntamente los requisitos establecidos en el presente Reglamento.

4.   Las funciones del organismo de supervisión designado en virtud del apartado 1 incluirán, en particular, las siguientes:

a) informar a las autoridades competentes pertinentes de los Estados miembros de que trate designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de cualquier violación significativa de la seguridad o pérdida de integridad de las que tenga conocimiento en el desempeño de sus funciones y, en caso de una violación significativa de la seguridad o pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único del Estado miembro de que se trate designado o establecido en virtud del artículo 8, apartado 3, de la Directiva (UE) 2022/2555 y a los puntos de contacto únicos de los demás Estados miembros de que se trate designados en virtud del artículo 46 quater, apartado 1, del presente Reglamento, e informar al público —o exigir al prestador de servicios de confianza que lo haga— en caso de que el organismo de supervisión considere que la divulgación de la violación de la seguridad o pérdida de integridad revistiera interés público;

b) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

c) analizar los informes de evaluación de la conformidad a que se refieren el artículo 20, apartado 1, y el artículo 21, apartado 1;

d) informar a la Comisión de sus actividades principales de conformidad con el apartado 6 del presente artículo;

e) realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, de conformidad con el artículo 20, apartado 2;

f) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas, sin dilación indebida, en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

g) conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar dicha cualificación, de conformidad con los artículos 20 y 21;

h) comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 22, apartado 3, de su decisión de conceder o retirar la cualificación, salvo si dicho organismo es también el organismo de supervisión designado en virtud del apartado 1 del presente artículo;

i) verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese cuando los prestadores cualificados de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, de conformidad con el artículo 24, apartado 2, letra h);

j) requerir que los prestadores de servicios de confianza corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

k) investigar las denuncias de los proveedores de navegadores web en virtud del artículo 45 bis y tomar medidas en caso necesario.

5.   Los Estados miembros podrán disponer que el organismo de supervisión designado en virtud del apartado 1 establezca, mantenga y actualice una infraestructura de confianza de conformidad con el Derecho nacional.

6.   A más tardar el 31 de marzo de cada año, cada organismo de supervisión designado en virtud del apartado 1 presentará a la Comisión un informe sobre las principales actividades que haya llevado a cabo en el año natural anterior. La Comisión pondrá dichos informes anuales a disposición del Parlamento Europeo y del Consejo.

7.   A más tardar el 21 de mayo de 2025, la Comisión adoptará directrices sobre el ejercicio, por los organismos de supervisión designado en virtud del apartado 1 del presente artículo, de las funciones a que se refiere el apartado 4 del presente artículo y, mediante actos de ejecución, definirá los formatos y procedimientos del informe previsto en el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 quater. Puntos de contacto únicos

1.   Cada Estado miembro designará un punto de contacto único para los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados.

2.   Cada punto de contacto único ejercerá una función de enlace para facilitar la cooperación transfronteriza entre los organismos de supervisión de los prestadores de servicios de confianza y entre los organismos de supervisión de los proveedores de carteras europeas de identidad digital y, cuando proceda, con la Comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y con otras autoridades competentes de su Estado miembro.

3.   Cada Estado miembro hará públicos y, sin demora indebida, notificará a la Comisión los nombres y direcciones del punto de contacto único designado en virtud del apartado 1, así como cualquier modificación posterior a este respecto.

4.   La Comisión publicará una lista de los puntos de contacto únicos notificados en virtud del apartado 3.

Artículo 46 quinquies. Asistencia mutua

1.   A fin de facilitar la supervisión y el cumplimiento de las obligaciones establecidas en virtud del presente Reglamento, los organismos de supervisión designados en virtud del artículo 46 bis, apartado 1, y del artículo 46 ter, apartado 1, podrán solicitar —también a través del Grupo de Cooperación establecido de conformidad con el artículo 46 sexies, apartado 1— asistencia mutua de organismos de supervisión de otro Estado miembro en el que el prestador de la cartera europea de identidad digital o el prestador de servicios de confianza esté establecido, o en el que se encuentren sus redes y sistemas de información o se presten sus servicios.

2.   La asistencia mutua implicará, como mínimo, lo siguiente:

a) el organismo de supervisión que aplique medidas de supervisión y ejecución en un Estado miembro informará y consultará al organismo de supervisión del otro Estado miembro afectado;

b) un organismo de supervisión podrá solicitar al organismo de supervisión de otro Estado miembro afectado que adopte medidas de supervisión o ejecución, entre las que se podrá contar, por ejemplo, cursar solicitudes de inspección en relación con los informes de evaluación de la conformidad contemplados en los artículos 20 y 21 en lo referente a la prestación de servicios de confianza;

c) cuando proceda, los organismos de supervisión podrán llevar a cabo investigaciones conjuntas con los organismos de supervisión de otros Estados miembros.

Los acuerdos y procedimientos para las acciones conjuntas con arreglo al párrafo primero serán aprobados y establecidos por los Estados miembros de que se trate de conformidad con su Derecho nacional.

3.   El organismo de supervisión al que se haya dirigido una solicitud de asistencia podrá denegar dicha solicitud por alguno de los motivos siguientes:

a) la asistencia solicitada no guarda proporción con las actividades de supervisión del organismo de supervisión realizadas de conformidad con los artículos 46 bis y 46 ter;

b) el organismo de supervisión no es competente para prestar la asistencia solicitada;

c) la prestación de la asistencia solicitada sería incompatible con el presente Reglamento.

4.   A más tardar el 21 de mayo de 2025, y posteriormente cada dos años, el Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, formulará orientaciones sobre los aspectos organizativos y los procedimientos para la asistencia mutua a que se refieren los apartados 1 y 2 del presente artículo.

Artículo 46 sexies. El Grupo de Cooperación sobre la Identidad Digital Europea

1.   Con el fin de apoyar y facilitar la cooperación transfronteriza de los Estados miembros y el intercambio de información sobre los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados, la Comisión creará el Grupo de Cooperación sobre la Identidad Digital Europea.

2.   El Grupo de Cooperación estará formado por representantes nombrados por los Estados miembros y la Comisión. El Grupo de Cooperación estará presidido por la Comisión. La Comisión asumirá la secretaría del Grupo de Cooperación.

3.   Podrá invitarse a representantes de las partes interesadas pertinentes a asistir a las reuniones del Grupo de Cooperación y a participar en sus trabajos en calidad de observadores ad hoc.

4.   Se invitará a la ENISA a participar en calidad de observadora en los trabajos del Grupo de Cooperación cuando este intercambie puntos de vista, mejores prácticas e información sobre aspectos pertinentes en materia de ciberseguridad, como la notificación de violaciones de la seguridad, y cuando se trate del uso de certificados o las normas sobre ciberseguridad.

5.   El Grupo de Cooperación desempeñará las siguientes funciones:

a) intercambiar recomendaciones y cooperar con la Comisión en las iniciativas políticas emergentes en el ámbito de las carteras de identidad digital, los medios de identificación electrónica y los servicios de confianza;

b) asesorar a la Comisión, según proceda, en la preparación temprana de los proyectos de actos delegados y de ejecución que deban adoptarse en virtud del presente Reglamento;

c) con el fin de apoyar a los organismos de supervisión en la aplicación de las disposiciones del presente Reglamento:

i) intercambiar las mejores prácticas e información sobre la aplicación de las disposiciones del presente Reglamento,

ii) evaluar los avances pertinentes en el ámbito de los sectores de la cartera de identidad digital, la identificación electrónica y los servicios de confianza,

iii) organizar reuniones conjuntas con las partes interesadas pertinentes de toda la Unión para tratar las actividades realizadas por el Grupo de Cooperación y recabar apreciaciones sobre los desafíos políticos emergentes,

iv) con el apoyo de la ENISA, intercambiar opiniones, mejores prácticas e información sobre los aspectos de ciberseguridad pertinentes relativos a las carteras europeas de identidad digital, los sistemas de identificación electrónica y los servicios de confianza,

v) intercambiar mejores prácticas en relación con el desarrollo y la ejecución de políticas sobre la notificación de violaciones de la seguridad y las medidas comunes a que se refieren los artículos 5 sexies y 10,

vi) organizar reuniones conjuntas con el Grupo de Cooperación SRI establecido en virtud del artículo 14, apartado 1, de la Directiva (UE) 2022/2555 para intercambiar la información pertinente referente a ciberamenazas, incidencias, vulnerabilidades, iniciativas de sensibilización, formación, ejercicios y destrezas, desarrollo de capacidades, capacidad relativa a las normas y especificaciones técnicas y las propias normas y especificaciones técnicas en relación con los servicios de confianza y la identificación electrónica,

vii) debatir, a petición de un organismo de supervisión, las solicitudes concretas de asistencia mutua a que se refiere el artículo 46 quinquies,

viii) facilitar el intercambio de información entre los organismos de supervisión, orientando sobre los aspectos organizativos y los procedimientos de la asistencia mutua a que se refiere el artículo 46 quinquies;

d) organizar revisiones inter pares de los sistemas de identificación electrónica que vayan a notificarse con arreglo al presente Reglamento.

6.   Los Estados miembros garantizarán una cooperación efectiva y eficiente de sus representantes designados en el Grupo de cooperación.

7.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los mecanismos de procedimiento necesarios para facilitar la cooperación entre los Estados miembros a que se refiere el apartado 5, letra d), del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

48) El artículo 47 se modifica como sigue:

a)  los apartados 2 y 3 se sustituyen por el texto siguiente:

«2.   Los poderes para adoptar actos delegados mencionados en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, se otorgan a la Comisión por un período de tiempo indefinido a partir del 17 de septiembre de 2014.

3.   La delegación de poderes mencionada en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.»;

b) el apartado 5 se sustituye por el texto siguiente:

«5.   Los actos delegados adoptados en virtud del artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.».

49) En el capítulo VI se inserta el artículo siguiente:

«Artículo 48 bis. Requisitos de información

1.   Los Estados miembros garantizarán la recopilación de estadísticas relativas al funcionamiento de las carteras europeas de identidad digital y los servicios de confianza cualificados prestados en su territorio.

2.   Las estadísticas recopiladas de conformidad con el apartado 1 incluirán los siguientes elementos:

a) el número de personas físicas y jurídicas poseedoras de una cartera europea de identidad digital válida;

b) el tipo y cantidad de servicios que aceptan el uso de la cartera europea de identidad digital;

c) la cantidad de reclamaciones de usuarios e incidencias de protección de los consumidores o de protección de datos relacionadas con las partes usuarias y los servicios de confianza cualificados;

d) un informe resumido que incluya datos sobre las incidencias que impidan utilizar la cartera europea de identidad digital;

e) un resumen de las incidencias de seguridad importantes, de las violaciones de la seguridad de los datos y de los usuarios de carteras europeas de identidad digital o de servicios de confianza cualificados que hayan resultado afectados.

3.   Las estadísticas a que se refiere el apartado 2 se harán públicas en un formato abierto, de uso común y legible por máquina.

4.   Cada año, a más tardar el 31 de marzo, los Estados miembros presentarán a la Comisión un informe sobre las estadísticas recopiladas de conformidad con el apartado 2.».

50) El artículo 49 se sustituye por el texto siguiente:

«Artículo 49. Revisión

1.   La Comisión revisará la aplicación del presente Reglamento y, a más tardar el 21 de mayo de 2026, informará al Parlamento Europeo y al Consejo. En dicho informe, la Comisión evaluará, en particular, si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidas, en concreto, las disposiciones que figuran en el artículo 5 quater, apartado 5, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica. Si fuera necesario, dicho informe irá acompañado de una propuesta de modificación del presente Reglamento.

2.   El informe a que se refiere el apartado 1 incluirá una evaluación de la disponibilidad, seguridad y facilidad de uso de los medios de identificación electrónica notificados y las carteras europeas de identidad digital que entran dentro del ámbito de aplicación del presente Reglamento y evaluarán si debe requerirse a todos los prestadores de servicios privados en línea que se apoyan en servicios de identificación electrónica de terceros con fines de autenticación de los usuarios que acepten el uso de los medios de identificación electrónicos notificados y la cartera europea de identidad digital.

3.   A más tardar el 21 de mayo de 2030, la Comisión presentará un informe al Parlamento Europeo y al Consejo sobre la marcha hacia el logro de los objetivos del presente Reglamento.».

51) El artículo 51 se sustituye por el texto siguiente:

«Artículo 51. Disposiciones transitorias

1.   Los dispositivos de creación de firma segura cuya conformidad se haya determinado con arreglo al artículo 3, apartado 4, de la Directiva 1999/93/CE continuarán considerándose dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento hasta el 21 de mayo de 2027.

2.   Los certificados cualificados expedidos a personas físicas con arreglo a la Directiva 1999/93/CE seguirán considerándose certificados cualificados de firma electrónica en virtud del presente Reglamento hasta el 21 de mayo de 2026.

3.   Los prestadores cualificados de servicios de confianza distintos de aquellos que presten servicios cualificados de confianza para la gestión de dispositivos cualificados de creación de firma y sello electrónicos a distancia de conformidad con los artículos 29 bis y 39 bis podrán seguir llevando a cabo la gestión de certificados cualificados de firma electrónica sin la necesidad de obtener la cualificación para la prestación de dichos servicios de gestión hasta el 21 de mayo de 2026.

4.   Los prestadores cualificados de servicios de confianza a los que se haya concedido su cualificación en virtud del presente Reglamento antes del 20 de mayo de 2024 presentarán al organismo de supervisión un informe de evaluación de la conformidad que demuestre el cumplimiento del artículo 24, apartados 1, 1 bis y 1 ter, tan pronto como sea posible y, en cualquier caso, antes del 21 de mayo de 2026.».

52) Los anexos I a IV se modifican, respectivamente, de conformidad con lo dispuesto en los anexos I a IV del presente Reglamento.

53) Se añaden los nuevos anexos V, VI y VII, tal como figuran en los anexos V, VI y VII del presente Reglamento.

Artículo 2. Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 11 de abril de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, La Presidenta, H. LAHBIB

(*1)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).».”

(*2)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).”

(*3)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).”

(*4)  Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).”

(*5)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).».”

(*6)  Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).».”

(*7)  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).».”

——————————————

(1)   DO C 105 de 4.3.2022, p. 81.

(2)   DO C 61 de 4.2.2022, p. 42.

(3)  Posición del Parlamento Europeo de 29 de febrero de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 26 de marzo de 2024.

(4)  Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(5)  Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, por la que se establece el programa estratégico de la Década Digital para 2030 (DO L 323 de 19.12.2022, p. 4).

(6)   DO C 23 de 23.1.2023, p. 1.

(7)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO L 119 de 4.5.2016, p. 1).

(8)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(9)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(10)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(11)  Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación (DO L 188 de 12.7.2019, p. 67).

(12)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(13)  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).

(14)  Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).

(15)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).

(16)  Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51).

—————————————————————-

ANEXO I. En el anexo I del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO II. En el anexo II del Reglamento (UE) nº 910/2014, se suprimen los puntos 3 y 4.

ANEXO III. En el anexo III del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO IV. El anexo IV del Reglamento (UE) nº 910/2014 se modifica como sigue:

1) La letra c) se sustituye por el texto siguiente:

«c) para las personas físicas: al menos el nombre de la persona a la que se expida el certificado, o un seudónimo; y, cuando se use un seudónimo, una indicación clara en este sentido;

c bis) para las personas jurídicas: un conjunto único de datos que represente inequívocamente a la persona jurídica a la que se expide el certificado, con al menos el nombre de la persona jurídica a la que se expide el certificado y, en su caso, el número de registro tal como figura en los registros oficiales;».

2) La letra j) se sustituye por el texto siguiente:

«j) la información o la localización de los servicios de estado de validez del certificado que pueden utilizarse para consultar el estado de validez del certificado cualificado.».

ANEXO V.

«ANEXO V. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA CUALIFICADA DE ATRIBUTOS

La declaración electrónica cualificada de atributos contendrá:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica cualificada de atributos;

b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide la declaración electrónica cualificada de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho prestador está establecido, y:

i) para personas jurídicas, el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,

ii) para personas físicas, el nombre de la persona;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el prestador cualificado de servicios de confianza y, si procede, la indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del prestador cualificado de servicios de confianza expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración cualificada.».

ANEXO VI

«ANEXO VI. LISTA MÍNIMA DE ATRIBUTOS

En virtud de lo dispuesto en el artículo 45 sexies, los Estados miembros garantizarán la adopción de medidas que permitan a los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verificar por medios electrónicos, a petición del usuario, la autenticidad de los atributos siguientes, cotejándolos con las fuentes auténticas pertinentes a escala nacional o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional y cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público:

1. dirección,

2. edad,

3. sexo,

4. estado civil,

5. composición familiar,

6. nacionalidad o ciudadanía,

7. cualificaciones, títulos y licencias académicos,

8. cualificaciones, títulos y licencias profesionales,

9. facultades y mandatos para representar a personas físicas o jurídicas,

10. permisos y licencias públicos,

11. en el caso de las personas jurídicas, datos financieros y sociales.».

ANEXO VII.

«ANEXO VII. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS EXPEDIDA POR UN ORGANISMO PÚBLICO RESPONSABLE DE UNA FUENTE AUTÉNTICA O EN NOMBRE DE ESTE

Las declaraciones electrónicas de atributos expedidas por un organismo público responsable de una fuente auténtica, o en nombre de este, contendrán:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica de atributos por un organismo público responsable de una fuente auténtica, o en nombre de este;

b) un conjunto de datos que represente inequívocamente al organismo público que expide la declaración electrónica de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho organismo público tiene su sede y su nombre y, en su caso, su número de registro tal como figura en los registros oficiales;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el organismo público expedidor y, si procede, una indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del organismo expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración.».

01Ene/15

La Identidad Digital: Límites entre la libertad de expresión e información y el derecho a la intimidad

Trabajos, ,

La Identidad Digital: Límites entre la libertad de expresión e información y el derecho a la intimidad

¿Quiénes somos realmente en Internet? ¿Somos responsables de nuestra información? El desarrollo de las TIC ha creado un nuevo escenario donde se desarrollan las relaciones personales y profesionales, mediante internet y la web 2.0. A través de ahí creamos nuestra reputación; que no deja de ser un producto fabricado y acumulado en el tiempo donde participan numerosos actores en base a diferentes percepciones, por lo que es muy fácil perder su control efectivo. Precisamente con la creación de nuestra identidad digital es cuando nos enfrentamos a las amenazas más importantes sobre nuestra privacidad.

El espacio democrático en el que se ha convertido internet permite canalizar al resto de usuarios las libres opiniones e ideas de forma inmediata, donde todo perdura. La libertad de información plantea dos limitaciones importantes: la veracidad y la relevancia pública. Es decir, cada publicación que se realice de otra persona deberá ser contrastada previamente y deberá tener relevancia e interés general. Pero la red no depura, ni filtra los contenidos antes de ser publicados. Y el interés de cada información es relativo.

Por otro lado, el derecho a la intimidad pretende crear una burbuja personal en el que una persona puede libremente impedir la intromisión de terceros en su vida privada, como así lo reconoce nuestra Constitución. En muchas ocasiones esa limitación de la vida privada fácilmente puede traspasarse del círculo de relaciones personales. Para las redes sociales por ejemplo, es importante sacrificar esa frágil barrera de privacidad para que los usuarios compartan información con el resto de internet y así generar conversación y nuevos contactos. Seguramente a la mayoría nos habrá tocado configurar nuestra cuenta de Facebook para limitar compartir nuestra información con el resto del mundo. A todo esto debemos sumarle la facilidad que tienen otros usuarios para subir y etiquetar imágenes donde aparecemos. Debido a la velocidad en la que se mueve la información en la práctica, no permite hacerlo de una forma mejor.

Ante la falta de una normativa eficaz (y capacidad técnica) que pueda regular y depurar cada uno de los contenidos que se generen en internet, podemos ver que el único límite que persiste es no atentar contra las personas. Al igual que ocurre en la prensa, la calumnia, la injuria o la difamación son los delitos que directamente pueden derivar de los límites de estos derechos; y que son igualmente aplicables en internet. De hecho Internet es considerado a día de hoy como el lugar más propenso a ser cometidos.

De todas maneras la identidad digital en mucha medida depende directamente de un uso responsable de la misma y de la propia conducta del usuario; mediante una gestión segura y responsable de lo que hacemos. Todo lo que difundamos nos puede venir en nuestra contra un día después. Internet no necesita asegurar la veracidad de los hechos antes de ser publicados y nadie va a retirar contenidos porque sí sin antes ser denunciados. Y rastrear cuál es el origen o editor de una información de cara a defender unos hechos, cuando todo se puede realizar desde el más absoluto anonimato, puede convertirse en algo totalmente imposible.