Archivos de la etiqueta: Tratamiento Datos Personales

25Ago/24

Circular externa nº 002/2024 de 21 agosto de 2024

Circular externa nº 002/2024 de 21 agosto de 2024, de la Superintendencia de Industria y Comercio de Colombia, Lineamientos sobre el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial.

Superintendencia de industria y Comercio

CIRCULAR EXTERNA nº 002 de 2024

Para: Sujetos vigilados por la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos personales.

Asuntos: Lineamientos sobre el Tratamiento de Datos personales en Sistemas de Inteligencia Artificial.

La Ley Estatutaria 1581 de 2012 estableció el régimen general de Protección de Datos personales en la Republica de Colombia, concretizando el derecho fundamental al Habeas Data (1), con el propósito de establecer los lineamientos de protección del Tratamiento de Datos personales. La norma, por su parte, reconoce el derecho de los Titulares para proteger su información y el deber de los Administradores de Datos personales (2) en la recolección, almacenamiento, uso, circulación de la información para finalidades constitucionales en el marco del Estado Social de Derecho.

La Inteligencia Artificial (en adelante “IA”) es una tecnología que tiene una dimensión tanto científica como social (3). Su importancia está determinada por los profundos cambios sociales que produce, y en particular que para su funcionamiento se necesitan de grandes volúmenes de datos, y la mayoría de las veces de Datos personales. Así, el impacto de la IA en el derecho fundamental al Habeas Data es evidente.

Esta circular tiene como propósito proveer a los Administradores de Datos personales certidumbre sobre el Tratamiento de Datos personales para desarrollar, desplegar o usar sistemas de Inteligencia artificial («Sistemas de IA»), y brindar a los Titulares seguridad sobre el uso de sus Datos personales en los Sistemas de IA, ya que típicamente se utilizan para tomar decisiones autónomas o para asistir a un tomador de decisiones humano a través de recomendaciones y predicciones.

El CONPES 3975 (4) define la inteligencia artificial como “(…) un campo de la informática dedicado a resolver problemas cognitivos comúnmente asociados con la inteligencia humana o seres inteligentes, entendidos como aquellos que pueden adaptarse a situaciones cambiantes. Su base es el desarrollo de sistemas informáticos, la disponibilidad de datos y los algoritmos”.

Los Estados miembros de la Organización para la Cooperación y Desarrollo Económico (OCDE) definieron en el 2023 un Sistema de Inteligencia Artificial como “un sistema basado en máquinas que, con objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, como generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales. Los diferentes sistemas de IA varían en sus niveles de autonomía y adaptabilidad después de su implementación” (5).

Las leyes estatutarias 1266 de 2008 y 1581 de 2012 son normas neutrales temática y tecnológicamente que se aplican a todo Tratamiento de Datos personales por parte de

Administradores de Datos personales, incluyendo la recolección y/o Tratamiento de Datos personales para desarrollar, probar y monitorear Sistemas de Inteligencia Artificial o como parte de su proceso de implementación.

En ese orden de ideas, la normatividad sobre Tratamiento de Datos personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para tratar la información personal de los Titulares. Así las cosas, la ley colombiana permite el uso de tecnologías para tratar datos, pero, al mismo tiempo, exige que se haga de manera respetuosa de su ordenamiento jurídico.

En materia de Tratamiento de Datos personales impera como regla de responsabilidad el deber de responsabilidad demostrada o “accountability”, el cual exige a los Administradores de Datos personales adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación. Lo anterior, se ve materializado en el artículo 19A de la Ley Estatutaria 1266 de 2008, que establece: “Los operadores, fuentes y usuarios de información financiera, crediticia, comercial y de servicios deben ser capaces de demostrar que han implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones establecidas en la Ley 1266 de 2008”. Y, a Su vez, en el artículo 2.2.2.25.6.1 del Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, Decreto 1074 de 2015, al disponer que: “Los Responsables del Tratamiento de Datos personales deben ser capaces de demostrar, a petici6n de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto”.

La privacidad desde el diseño y por defecto (Privacy by Design and by Default), es considerada una medida proactiva para, entre otras, cumplir con el Principio de Responsabilidad Demostrada. Al introducir la privacidad desde el desafío, se garantiza el debido Tratamiento de los datos utilizados en los proyectos informáticos que involucren Tratamiento de Datos personales.

Esto implica que en el momento de hacer analítica de datos para entrenar una maquina con inteligencia artificial se deberán aplicar técnicas matemáticas que impidan identificar a la persona que proporciona la información. Con esto se busca prevenir niveles de riesgo no aceptables, por su impacto al vulnerar el consentimiento de los Titulares en su derecho fundamental a la privacidad. Así, el debido Tratamiento de la información debe ser un componente esencial del diseño y puesta en marcha de proyectos de inteligencia artificial; lo cual implica la materializaci6n del principio de seguridad previsto tanto en el literal f) del artículo 4 de la Ley Estatutaria 1266 de 2008, como en el literal g) del artículo 5 de la Ley Estatutaria 1581 de 2012, en tanto conlleva la adopción de medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Esta Superintendencia a través de la Delegatura para la Protección de Datos personales tiene entre las funciones asignadas por la Ley Estatutaria 1581 de 2012, las de “velar por el cumplimiento de la legislaci6n en materia de Protección de Datos personales” e “impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley” (6).

Además de lo anterior, en Sentencia C-1011 de 2008, la Corte Constitucional de Colombia revisando la constitucionalidad del proyecto correspondiente a la hoy Ley Estatutaria 1266 de 2008, se pronuncié respecto de las funciones de esta Superintendencia que:

“Para cumplir con esta obligación de Protección y garantía de los derechos del sujeto concernido, el legislador estatutario establecido en el artículo 17 que las Superintendencias de Industria y Comercio y Financiera ejercerán la función de vigilancia de los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto refiere a la administración de Datos personales regulada por la normatividad objeto de estudio.

Estas funciones de vigilancia consisten, entre otros aspectos, en impartir instrucciones y 6rdenes sobre la manera como deben cumplirse las disposiciones previstas por la normatividad estatutaria, relacionadas con la administración de la mencionada información, para lo cual las Superintendencias fijaran los criterios que faciliten su cumplimiento y señalaran procedimientos para su cabal aplicación.”

A su vez, mediante Sentencia C -748 de 2011 (de constitucionalidad del proyecto correspondiente a la Ley Estatutaria 1582 de 2012) la Corporación se refirió a las facultades de esta autoridad establecidas en el artículo 21 del citado proyecto en los siguientes términos:

“Esta disposición enlista las funciones que ejercerá la nueva Delegatura de protección de Datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los estándares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigación y sanción por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoción de la Protección de datos.

Además, debe afirmarse que, tal como lo estableci6é la Corte en la Sentencia C-1011 de 2008, la naturaleza de las facultades atribuidas a la Superintendencia —a través de la Delegatura-, “caen dentro del ámbito de las funciones de policía administrativa que corresponden a esos órganos técnicos adscritos al ejecutivo (Art. 115 C.P.), en tanto expresión de la potestad de dirección e intervención del Estado en la economía (Art.334), y de intervención reforzada del Gobierno en las actividades financiera, bursátiles y aseguradoras (Art. 335 C.P.).”

Igualmente, el numeral 55 del artículo 1 del Decreto 4886 de 2011 (modificado por el Decreto 092 de 2022) señala que esta Superintendencia des competente para “impartir instrucciones en materia de administración de Datos personales, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación”. Todo ello independientemente, de los sistemas informáticos en los cuales se estén tratando los Datos personales; tecnologías de la información y las comunicaciones.

A su vez, la Corte Constitucional en Sentencia T- 323 del 2024 reafirma la necesidad de cumplir lo establecido en la regulación sobre Protección de Datos personales en el Tratamiento que se haga sobre aquellos por cualquier sistema de IA, en los siguientes términos:

“Ahora bien, en cuanto a la regulación del Tratamiento de datos en Colombia es importante destacar que las leyes estatutarias 1266 de 2008 y 1581 de 2012 fueron redactadas neutralmente, en el sentido que sus disposiciones aplican al Tratamiento de datos que se realice mediante cualquier herramienta manual o tecnológica. En este sentido, cualquier sistema de IA debe garantizar el cumplimiento de estas normatividades.”

En este sentido, esta Superintendencia, como Autoridad Nacional de Protección de Datos personales, instruye sobre el Tratamiento de Datos personales en Sistemas de Inteligencia Artificial en los siguientes términos:

I. El Tratamiento de Datos personales en la IA presupone la necesidad de realizar una ponderación atendiendo cuatro criterios, destinados a salvaguardar los principios establecidos en las Leyes Estatutarias 1266 de 2008 y 1581 de 2012:

a. Idoneidad: El Tratamiento es capaz de alcanzar el objetivo propuesto;

b. Necesidad: No exista otra medida más moderada en cuanto al impacto de las operaciones de Tratamiento en la protección de Datos personales e igual de eficaz para conseguir tal objetivo;

c. Razonabilidad: El Tratamiento debe estar orientado a cumplir finalidades constitucionales;

d. Proporcionalidad en sentido estricto: Las ventajas obtenidas como consecuencia de la restricción del derecho a la Protección de datos no deberán ser superadas por las desventajas de afectar el derecho al Habeas Data.

Il. En caso de presentarse falta de certeza frente a los potenciales daños que puede causar el Tratamiento de Datos personales, y con miras a evitar que se cause un daño grave e irreversible, los Administradores de Datos personales deberán abstenerse de realizar dicho Tratamiento o adoptar medidas precautorias o preventivas para proteger los derechos del Titular del dato, su dignidad y otros derechos humanos.

III. La identificación y clasificación de riesgos, Así como la adopción de medidas para mitigarlos, son elementos esenciales del principio de responsabilidad demostrada (7). Así, en el Tratamiento de Datos personales en la IA se requiere que los Administradores de Datos personales adecuen, entre otros, sistemas de administración de riesgos asociados al Tratamiento de aquella información. Lo anterior, con el objetivo de identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo que están expuestos en desarrollo del cumplimiento de las normas de protección de Datos personales.

IV. Previo al desafío y desarrollo de la IA, y en la medida en que sea probable que los productos realizados a través de dichas técnicas entrañen un alto riesgo de afectación a los Titulares de la información, será necesario efectuar y documentar un estudio de impacto de privacidad. Aquel, como mínimo, deberá contener lo siguiente:

a. Una descripción detallada de las operaciones de Tratamiento de Datos personales.

b. Una evaluación de los riesgos específicos para los derechos y libertades de los Titulares de los Datos personales. En la evaluación de riesgos se espera, por lo menos, la identificación y clasificación estos.

c. Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de Datos personales, teniendo en cuenta los derechos e intereses legítimos de los Titulares de los datos y de otras personas que puedan eventualmente resultar afectadas.

V. Los Datos personales sujetos a Tratamiento en la IA deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles. De esta manera, se prohíbe por el ordenamiento jurídico (8) el Tratamiento de Datos personales parciales, incompletos, fraccionados o que induzcan a error.

VI. Una manera para dar cumplimiento a la privacidad desde el diseño y por defecto por medio de técnicas matemáticas es la privacidad diferencial (9).

VII. En el Tratamiento de Datos personales en la IA debe garantizarse el derecho de los Titulares de la información a obtener de los Administradores de Datos personales, en cualquier momento y sin restricciones, información acerca del Tratamiento de sus Datos personales (10).

VIII. Para cumplir el principio de seguridad, en el desarrollo y despliegue de la IA, se requiere adoptar medidas tecnológicas (11), humanas, administrativas, físicas, contractuales y de cualquier otra índole para evitar:

a. El acceso indebido o no autorizado a los Datos personales.

b. La manipulación de la información.

c. La destrucción de la información.

d. El uso indebido o no autorizado de la información.

e. Circular o suministrar la información a personas no autorizadas.

Las medidas de seguridad implementadas deben ser auditables por las autoridades para su evaluación y mejoras permanentes.

IX. La información personal que es «accesible al publico» no es, per se, información «de naturaleza publica» (12). El hecho de que estén disponibles en internet no significa que cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato (13). De esta manera, los Administradores de Datos personales que recolecten Datos personales privados, semiprivados o sensibles en internet no están legitimados para apropiarse de dicha información y tratarla para cualquier finalidad que consideren apropiado sin la autorización previa, expresa e informada del Titular de la información.

X. El Tratamiento de Datos personales que se realice en sistemas de IA debe prever estrategias pertinentes, eficientes y demostrables para garantizar el cumplimiento de los derechos de los Titulares de la información establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012 y sus decretos reglamentarios (14).

Así, en armonía con las normas citadas y la jurisprudencia constitucional, el Tratamiento de Datos personales en Sistemas de Inteligencia Artificial requiere la debida observancia de lo establecido en materia de Protección de Datos personales. La ley colombiana permite el uso de tecnologías para tratar datos, pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, desafían o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre Tratamiento de Datos personales recolectados y/o tratados en Colombia.

De esa manera, estas instrucciones armonizan las anteriores normas para garantizar el fin constitucional de una efectiva Protección del derecho al Habeas Data y el debido Tratamiento de Datos personales.

Cordialmente,

CIELO ELAINNE RUSINQUE URREGO

SUPERINTENDENTE DE INDUSTRIA Y COMERCIO

————————————————————–

(1) Artículo 15 de la Constitución Política de Colombia de 1991.

(2) Se entiende por Administradores de Datos personales a: los Responsables del Tratamiento (literal e) artículo 3 de la Ley Estatutaria 1581 de 2012), los Encargados del Tratamiento (literal d) artículo 3 de la Ley Estatutaria 1581 de 2012), las Fuentes de información (literal b) artículo 3 de la Ley Estatutaria 1266 de 2008), los Operadores de información (literal c) artículo 3 de la Ley Estatutaria 1266 de 2008) y a los Usuarios (literal d) artículo 3 de la Ley Estatutaria 1266 de 2008).

(3) SIERRA CADENA, Grenfieth de Jesús. Implementación de la Inteligencia Artificial en las Altas Cortes de Colombia: los casos de la Corte Constitucional y el Consejo de Estado. Revista Eurolatinoamericana de Derecho Administrativo, Santa Fe, vol. 11, n. 1, e253, ene./jul. 2024.

DOI 10.14409/redoeda.v11i1.13824 “Un fenómeno científico y social que posee una doble naturaleza. Es considerada a la vez como un avance tecnológico-científico y un instrumento de transformaciones sociales. Tiene su origen en las ciencias de la computación, la informática y las matemáticas. Durante los últimos 30 años ha vivido cambios exponenciales, al punto de lograr que el desarrollo computacional se cada vez más potente, con mayor capacidad en procesamiento de datos, llegando a simular comportamientos humanos 1. Como fenómeno social hace referencia a la llegada de aplicaciones, de plataformas, de redes sociales, de componentes tecnológicos que están modificando estructuralmente las relaciones humanas; determinando nuevas formas de sociedad y de gobierno.”

(4) Consejo Nacional de Política Económica y Social Republica de Colombia Departamento Nacional De Planeación. Documento CONPES 3975 POLÍTICA NACIONAL PARA LA TRANSFORMACION DIGITAL E NTELIGENCIA ARTIFICIAL

(5) Organización para la Cooperación y Desarrollo Económico (OCDE). EXPLANATORY MEMORANDUM ON THE PDATED OECD DEFINITION OF AN Al SYSTEM. Marzo 2024. https://www.oecd-ilibrary.org/docserver/623da898-en.pdf?expires=1723212626&id=id&accname=quest&checksum=E9A3D570869087CCF8A0A929BBE2B2FF

(6) Literales a) y e) del artículo 21 de la Ley Estatutaria 1581 de 2012.

(7) Los riesgos asociados al Tratamiento de Datos personales en la IA deben estar sujetos a planificación y esfuerzos de mitigación proporcionales a la gravedad de los eventuales daños que se pueden generar. Entre las contingencias para tener en cuenta deben estar las inherentes a la operación de los algoritmos (sesgos humanos, fallas técnicas, vulnerabilidades de seguridad, fallas en la Implementación), y a su desafío.

(8) Literal d) del Artículo 4 de la Ley Estatutaria 1581 de 2012.

(9) En palabras de la profesora de la Facultad de Matemáticas de la Universidad de los Andes, Valérie Gauthier “La privacidad diferencial es un conjunto de técnicas matemáticas que permiten hacer analítica sobre datos sin revelar información de las personas que proporcionaron esos datos. En este caso se confía en una entidad central que tiene los datos, y responde preguntas sobre los datos de tal manera que no se pueda revelar información de los individuos en particular, aun cuando se combine con otro conjunto de datos.

La privacidad diferencial local, tiene un mismo propósito, pero no necesita una entidad central de confianza. Cada individuo va a añadir un ruido a sus datos de tal manera que nadie conozca el valor real de sus datos, pero que no afecte la analítica de los datos globalmente.

Para ambos métodos hay que tener un presupuesto de privacidad, de tal manera que permita tener analítica de datos muy aproximados a los reales sin perder la privacidad de las personas. Ese presupuesto puede depender de la sensibilidad y del valor de los datos en cuestión.

Para más información sobre la privacidad diferencial:

Dwork, C & Roth, A. (2014). The Algorithmic Foundations of Differential Privacy. Theoretical Computer Science. https://www.cis.upenn.edu/~aaroth/Papers/privacybook.pdf

Wang, T & Jha, S. (2017). Locally Differentially Private Protocols for Frequency Estimation. USENIX Security Symposium. https://www. usenix.org/system/files/conference/usenixsecurity1 7/sec17-wang-tianhao.pdf

(10) Literal e) del Artículo 4 de la Ley Estatutaria 1581 de 2012.

(11) Literal g) del Artículo 4 de la Ley Estatutaria 1581 de 2012.

(12) El numeral 2 del artículo 3 del Decreto 1377 de 2013 (incorporado en el Decreto Único Reglamentario 1074 de 2015) establece que un Dato Publico es “(…) el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u Oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

(13) Resolución nº 71406 del 15 de noviembre de 2023. Por la cual se imparten unas ordenes administrativas a LinkedIn.

(14) Téngase presente: Decreto 2952 de 2010 (incorporado en el Decreto Único Reglamentario

09Ago/24

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) nº 910//2014 en lo que respecta al establecimiento del marco europeo de identidad digital. 

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) La Comunicación de la Comisión de 19 de febrero de 2020, titulada «Configurar el futuro digital de Europa», anuncia una revisión del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (4) para mejorar su eficacia, extender sus beneficios al sector privado y promover unas identidades digitales de confianza para todos los europeos.

(2) En sus Conclusiones de 1 y 2 de octubre de 2020, el Consejo Europeo instó a la Comisión a que presentara una propuesta relativa al desarrollo, a escala de la UE, de un marco para la identificación electrónica pública segura, en particular de las firmas digitales interoperables, de modo que los ciudadanos puedan tener el control de su identidad y sus datos en línea y se facilite el acceso a los servicios digitales públicos, privados y transfronterizos.

(3) El Programa Estratégico de la Década Digital para 2030, establecido por la Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo (5), fija los objetivos y las metas digitales de un marco de la Unión que, de aquí a 2030, deben dar lugar a la implantación generalizada de una identidad digital fiable, voluntaria y controlada por el usuario, reconocida en toda la Unión y que permita a todos los usuarios controlar sus datos en las interacciones en línea.

(4) La Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital, proclamada por el Parlamento Europeo, el Consejo y la Comisión (6) (en lo sucesivo, «Declaración»), subraya el derecho de todas las personas a acceder a tecnologías, productos y servicios digitales que sean seguros y protejan la privacidad desde el diseño. Esto incluye velar por que se ofrezca a todas las personas que viven en la Unión una identidad digital accesible, segura y fiable que permita acceder a una amplia gama de servicios en línea y fuera de línea, protegida contra los riesgos de ciberseguridad y los ciberdelitos, por ejemplo, la violación de la seguridad de los datos y la usurpación o la manipulación de identidad. En la Declaración también se afirma que toda persona tiene derecho a la protección de sus datos personales. Este derecho incluye el control de cómo se utilizan esos datos y con quién se comparten.

(5) Los ciudadanos de la Unión y los residentes en la Unión deben tener derecho a poseer una identidad digital que se mantenga bajo su control exclusivo y les permita ejercer sus derechos en el entorno digital y participar en la economía digital. Para alcanzar este objetivo, debe establecerse un marco europeo de identidad digital que permita a los ciudadanos de la Unión y los residentes en la Unión acceder a servicios públicos y privados en línea y fuera de línea en toda la Unión.

(6) Un marco de identidad digital armonizado debe contribuir a la creación de una Unión más integrada digitalmente al reducir los obstáculos digitales entre los Estados miembros y capacitar a los ciudadanos de la Unión y los residentes en la Unión para que disfruten de los beneficios de la digitalización, aumentando al mismo tiempo la transparencia y la protección de sus derechos.

(7) Un enfoque más armonizado en lo que respecta a la identificación electrónica debe reducir los riesgos y los costes asociados a la actual fragmentación derivada del uso de soluciones nacionales divergentes o, en algunos Estados miembros, a la ausencia de tales soluciones de identificación electrónica. Este enfoque debe reforzar el mercado interior al permitir que los ciudadanos de la Unión, los residentes en la Unión tal como se definen en el Derecho nacional y las empresas se identifiquen y proporcionen una autenticación de su identidad en línea y fuera de línea de manera segura, fiable, fácil de usar, cómoda, accesible y armonizada en toda la Unión. La cartera europea de identidad digital debe proporcionar a las personas físicas y jurídicas de la Unión un medio de identificación electrónica armonizado que permita autenticar y compartir datos relacionados con su identidad. Toda persona debe poder acceder de forma segura a servicios públicos y privados apoyándose en un ecosistema reforzado de servicios de confianza y en pruebas de identidad y declaraciones electrónicas de atributos verificadas, como cualificaciones académicas, por ejemplo, títulos universitarios u otros títulos profesionales o académicos. El marco europeo de identidad digital tiene por finalidad lograr un cambio que permita pasar de la utilización exclusiva de soluciones nacionales de identidad digital a la provisión de declaraciones electrónicas de atributos que sean válidas y estén legalmente reconocidas en toda la Unión. Los prestadores de declaraciones electrónicas de atributos deben beneficiarse de un conjunto de normas claras y uniformes, y las administraciones públicas deben poder confiar en los documentos electrónicos expedidos en un determinado formato.

(8) Varios Estados miembros han aplicado y emplean medios de identificación electrónica que son aceptados por prestadores de servicios en la Unión. Asimismo, se han realizado inversiones en soluciones tanto nacionales como transfronterizas atendiendo al Reglamento (UE) nº 910/2014, incluida la interoperabilidad de los sistemas de identificación electrónica notificados con arreglo a dicho Reglamento. Con el fin de garantizar la complementariedad y la rápida adopción de las carteras europeas de identidad digital por los usuarios existentes de los medios de identificación electrónica notificados, así como de reducir al mínimo las repercusiones sobre los prestadores de servicios existentes, se espera que las carteras europeas de identidad digital se beneficien de la experiencia adquirida con los medios de identificación electrónica existentes y de la infraestructura de los sistemas de identificación electrónica notificados implantada a escala nacional y de la Unión.

(9) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (7) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8) se aplican a todas las actividades de tratamiento de datos personales en virtud del Reglamento (UE) nº 910/2014. Las soluciones que forman parte del marco de interoperabilidad previsto en el presente Reglamento también cumplen dichas normas. El Derecho de la Unión en materia de protección de datos establece principios, como los de minimización de datos y limitación de finalidad, y obligaciones, como la protección de datos desde el diseño y por defecto.

(10) Con el fin de fomentar la competitividad de las empresas de la Unión, los prestadores de servicios tanto en línea como fuera de línea deben poder contar con soluciones de identidad digital reconocidas en toda la Unión, independientemente del Estado miembro en el que se proporcionen, de tal manera que se beneficien de un enfoque armonizado de la Unión en lo que respecta a la confianza, la seguridad y la interoperabilidad. Tanto los usuarios como los prestadores de servicios deben poder beneficiarse de que se confiera el mismo valor jurídico a las declaraciones electrónicas de atributos en toda la Unión. El objetivo de un marco armonizado para una identidad digital es crear valor económico al facilitar el acceso a bienes y servicios y reducir considerablemente los costes de explotación asociados a los procedimientos de identificación y autenticación electrónicas, por ejemplo, durante la incorporación de nuevos clientes, así como las posibilidades de que se cometan ciberdelitos, como la usurpación de identidad, el robo de datos y el fraude en línea, y, así, propiciar una mayor eficiencia y una transformación digital segura de las pymes de la Unión.

(11) Las carteras europeas de identidad digital deben facilitar la aplicación del principio de «solo una vez» y, de esta manera, reducir la carga administrativa que recae sobre los ciudadanos de la Unión y los residentes en la Unión, así como sobre las empresas de toda la Unión, y apoyar su movilidad transfronteriza, además de fomentar el desarrollo de servicios de administración electrónica interoperables en toda la Unión.

(12) El Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9) y la Directiva 2002/58/CE son aplicables al tratamiento de datos personales efectuado en aplicación del presente Reglamento. En consecuencia, el presente Reglamento debe establecer salvaguardas específicas para evitar que los proveedores de medios de identificación electrónica y declaraciones electrónicas de atributos combinen los datos personales obtenidos al prestar otros servicios con los datos personales tratados para prestar los servicios contemplados en el ámbito de aplicación del presente Reglamento. Se debe establecer una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de la cartera. El presente Reglamento no debe impedir a los proveedores de las carteras europeas de identidad digital aplicar medidas técnicas adicionales que contribuyan a la protección de los datos personales, como por ejemplo la separación física entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos en poder del proveedor. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, el presente Reglamento especifica la aplicación de los principios de limitación de finalidad, minimización de datos y protección de datos desde el diseño y por defecto.

(13) La función de panel común debe integrarse en el diseño de las carteras europeas de identidad digital, a fin de garantizar un mayor grado de transparencia, privacidad y control por parte de los usuarios de sus datos personales. Dicha función debe ofrecer una interfaz fácil y de uso sencillo con una visión general de todas las partes usuarias con las que el usuario comparte datos, incluidos los atributos, y el tipo de datos compartidos con cada parte usuaria. Debe permitir al usuario efectuar un seguimiento de todas las transacciones ejecutadas a través de la cartera europea de identidad digital con al menos los siguientes datos: la hora y la fecha de la transacción, la identificación de la contraparte, los datos personales solicitados y los datos compartidos. Tal información debe almacenarse aun cuando la transacción no se haya concluido. No debe ser posible repudiar la autenticidad de la información contenida en el historial de transacciones. Tal función debe estar activada por defecto. Debe permitir al usuario solicitar fácilmente a una parte usuaria que suprima inmediatamente datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679 y denunciar fácilmente a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud presuntamente ilícita o sospechosa de datos personales directamente a través de la cartera europea de identidad digital.

(14) Los Estados miembros deben integrar en la cartera europea de identidad digital distintas tecnologías de protección de la privacidad, como la prueba de conocimiento cero. Estos métodos criptográficos deben permitir que una parte usuaria valide si una declaración dada basada en los datos de identificación y la declaración de atributos de la persona es verdadera sin revelar ningún dato en que se base dicha declaración, preservando así la privacidad del usuario.

(15) El presente Reglamento define las condiciones armonizadas de cara al establecimiento de un marco para las carteras europeas de identidad digital que deben proporcionar los Estados miembros. Todos los ciudadanos de la Unión, y los residentes en la Unión tal como se definen en el Derecho nacional, deben estar facultados para solicitar, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos relacionados con su identidad y solicitar la supresión de sus datos personales de una manera sencilla y cómoda que esté bajo el control exclusivo del usuario y permita al mismo tiempo la divulgación selectiva de datos personales. El presente Reglamento refleja los valores europeos comunes y respeta los derechos fundamentales, las garantías jurídicas y la responsabilidad y, para así proteger las sociedades democráticas, los ciudadanos de la Unión y los residentes en la Unión. Deben desarrollarse tecnologías que permitan lograr estos objetivos y que aspiren al máximo nivel de seguridad, privacidad, comodidad de uso y accesibilidad, garantizando asimismo una elevada facilidad de utilización y una interoperabilidad fluida. Los Estados miembros deben garantizar la igualdad de acceso a la identificación electrónica para todos sus ciudadanos y residentes. Los Estados miembros no deben limitar, directa o indirectamente, el acceso a los servicios públicos o privados a personas físicas o jurídicas que no opten por utilizar carteras europeas de identidad digital y deben facilitar otras soluciones adecuadas.

(16) Los Estados miembros deben aprovechar las posibilidades que ofrece el presente Reglamento para proporcionar, bajo su responsabilidad, carteras europeas de identidad digital, para su uso, a las personas físicas y jurídicas que residan en su territorio. A fin de ofrecer flexibilidad a los Estados miembros y aprovechar las tecnologías más avanzadas, el presente Reglamento debe permitir el suministro de carteras europeas de identidad digital directamente por un Estado miembro, en virtud de un mandato de un Estado miembro, o independientemente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

(17) A efectos del registro, las partes usuarias deben facilitar la información necesaria para permitir su identificación y autenticación electrónicas en las carteras europeas de identidad digital. Al declarar el uso que pretenden hacer de la cartera europea de identidad digital, las partes usuarias deben facilitar información sobre los datos que solicitarán, en su caso, para prestar sus servicios, así como el motivo de la solicitud. El registro de las partes usuarias facilita las verificaciones por parte de los Estados miembros por lo que respecta a la legalidad de las actividades de las partes usuarias de conformidad con el Derecho de la Unión. La obligación de registro prevista en el presente Reglamento debe entenderse sin perjuicio de las obligaciones establecidas en el Derecho de la Unión o nacional, como la información que debe facilitarse a los interesados en virtud del Reglamento (UE) 2016/679. Las partes usuarias deben cumplir las garantías ofrecidas por los artículos 35 y 36 de dicho Reglamento, en particular realizando evaluaciones de impacto relativas a la protección de datos y consultando a las autoridades competentes en materia de protección de datos antes del tratamiento de datos en los casos en que las evaluaciones de impacto relativas a la protección de datos indiquen que el tratamiento daría lugar a un riesgo elevado. Dichas garantías deben apoyar el tratamiento lícito de datos personales por las partes usuarias, en particular por lo que respecta a las categorías especiales de datos personales, como los datos relativos a la salud. El registro de las partes usuarias tiene por objeto aumentar la transparencia y la confianza en el uso de las carteras europeas de identidad digital. El registro debe tener un coste razonable y proporcionado a los riesgos conexos, a fin de garantizar la aceptación por parte de los prestadores de servicios. En este contexto, el registro debe ofrecer la posibilidad de utilizar procedimientos automáticos, en particular de que los Estados miembros recurran a registros existentes y los utilicen, y no debe conllevar un proceso de autorización previa. El proceso de registro debe permitir diversos casos de uso que pueden presentar diferencias en cuanto al modo de operación, ya sea en línea o fuera de línea, o en lo que respecta al requisito de autenticar los dispositivos con el objetivo de interactuar con la cartera europea de identidad digital. El registro debe aplicarse exclusivamente a las partes usuarias que presten servicios mediante una interacción digital.

(18) A fin de que se confíe en las carteras europeas de identidad digital y de que estas carteras se adopten ampliamente, es muy importante proteger a los ciudadanos de la Unión y los residentes en la Unión frente al uso no autorizado o fraudulento de las carteras europeas de identidad digital. Debe ofrecerse a los usuarios una protección eficaz contra este uso indebido. En particular, cuando una autoridad judicial nacional establezca, en el contexto de otro procedimiento, hechos que constituyan la base de un uso fraudulento o ilegal de una cartera europea de identidad digital, los organismos de supervisión responsables de los emisores de carteras europeas de identidad digital deben adoptar, tras la notificación, las medidas necesarias para garantizar la retirada o la suspensión del registro de la parte usuaria y de la inclusión de las partes usuarias en el mecanismo de autenticación hasta que la autoridad notificante confirme que las irregularidades detectadas se han subsanado.

(19) Todas las carteras europeas de identidad digital deben permitir a los usuarios identificarse y autenticarse electrónicamente de forma transfronteriza, tanto en línea como en modo fuera de línea, para acceder a una amplia gama de servicios públicos y privados. Sin perjuicio de las prerrogativas de los Estados miembros en lo que respecta a la identificación de sus ciudadanos y residentes, las carteras europeas de identidad digital también pueden dar respuesta a las necesidades institucionales de las administraciones públicas, las organizaciones internacionales y las instituciones, órganos y organismos de la Unión. La autenticación en modo fuera de línea será importante en numerosos sectores, especialmente el sanitario, en el que los servicios se prestan a menudo mediante una interacción presencial, y las recetas electrónicas deben poder utilizar códigos QR o tecnologías similares para verificar su autenticidad. Basándose en el nivel de seguridad alto por lo que respecta a los sistemas de identificación electrónica, las carteras europeas de identidad digital deben beneficiarse del potencial que ofrecen las soluciones inalterables, como las medidas de protección, para cumplir los requisitos de seguridad previstos en el presente Reglamento. Asimismo, las carteras europeas de identidad digital deben permitir a los usuarios crear y utilizar firmas y sellos electrónicos cualificados que se acepten en toda la Unión. Una vez incorporadas a una cartera europea de identidad digital, las personas físicas deben poder utilizarla para firmar con firmas electrónicas cualificadas, por defecto y de forma gratuita, sin tener que seguir ningún otro procedimiento administrativo. Los usuarios deben poder firmar o sellar declaraciones personales o atributos autodeclarados. En aras de la simplificación y la reducción de costes en beneficio de las personas y empresas de toda la Unión, en particular mediante la posibilidad de otorgar poderes de representación y mandatos electrónicos, los Estados miembros deben proporcionar carteras europeas de identidad digital que utilicen normas y especificaciones técnicas comunes para garantizar una interoperabilidad fluida y elevar adecuadamente el nivel de seguridad informática, reforzar la solidez frente a los ciberataques y, de este modo, reducir considerablemente los riesgos que entraña la digitalización en curso para los ciudadanos de la Unión, los residentes en la Unión y las empresas. Las autoridades competentes de los Estados miembros son las únicas que pueden proporcionar un nivel de confianza alto en la determinación de la identidad de una persona y, por lo tanto, ofrecer garantías de que la persona que afirma o manifiesta poseer una determinada identidad es, de hecho, quien dice ser. Por lo tanto, para la provisión de carteras europeas de identidad digital, es necesario basarse en la identidad legal de los ciudadanos de la Unión, los residentes en la Unión o las personas jurídicas. La utilización de la identidad legal no debe impedir que los usuarios de carteras europeas de identidad digital accedan a servicios mediante un seudónimo cuando no exista una obligación jurídica de utilizar la identidad legal para la autenticación. La confianza en las carteras europeas de identidad digital aumentaría si se impusiera a las partes emisoras y gestoras el deber de introducir medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad más elevado que sea proporcional a los riesgos planteados para los derechos y libertades de las personas físicas, de conformidad con el Reglamento (UE) 2016/679.

(20) El uso de una firma electrónica cualificada debe ser gratuito para todas las personas físicas con fines no profesionales. Los Estados miembros deben tener la posibilidad de establecer medidas para impedir el uso gratuito de firmas electrónicas cualificadas con fines profesionales por parte de personas físicas, garantizando al mismo tiempo que tales medidas sean proporcionadas a los riesgos detectados y estén justificadas.

(21) Resulta beneficioso facilitar la implantación y la utilización de carteras europeas de identidad digital mediante su integración sin dificultades en el ecosistema de servicios públicos y privados ya vigente a escala nacional, local o regional. A fin de alcanzar este objetivo, los Estados miembros deben tener la posibilidad de establecer medidas jurídicas y organizativas que mejoren la flexibilidad para los proveedores de carteras europeas de identidad digital y que hagan posibles otras funcionalidades de las carteras europeas de identidad digital aparte de las establecidas en el presente Reglamento, en particular mediante un refuerzo de la interoperabilidad con los medios nacionales de identificación electrónica existentes. Tales funcionalidades adicionales no deben en ningún caso ir en detrimento de la prestación de las funciones esenciales de las carteras europeas de identidad digital establecidas en el presente Reglamento, ni promover soluciones nacionales existentes en lugar de las carteras europeas de identidad digital. Tales funcionalidades adicionales exceden el ámbito de aplicación del presente Reglamento, y por ello no se benefician de las disposiciones sobre el uso transfronterizo de las carteras europeas de identidad digital que figuran en el presente Reglamento.

(22) Las carteras europeas de identidad digital deben incluir una funcionalidad para generar seudónimos elegidos y gestionados por el usuario con fines de autenticación a la hora de acceder a servicios en línea.

(23) Para lograr un nivel de seguridad y fiabilidad alto, el presente Reglamento establece los requisitos que deben satisfacer las carteras europeas de identidad digital. La acreditación de la conformidad de las carteras europeas de identidad digital con estos requisitos corresponderá a organismos acreditados de evaluación de la conformidad designados por los Estados miembros.

(24) A fin de evitar enfoques divergentes y armonizar la aplicación de los requisitos establecidos en el presente Reglamento, la Comisión debe, a fin de certificar las carteras europeas de identidad digital, adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos con el fin de establecer especificaciones técnicas detalladas para dichos requisitos. En la medida en que la certificación de la conformidad de las carteras europeas de identidad digital con los requisitos de ciberseguridad pertinentes no está cubierta por los esquemas de certificación de la ciberseguridad existentes a que se refiere el presente Reglamento, y en lo que respecta a los requisitos no relacionados con la ciberseguridad pertinentes para las carteras europeas de identidad digital, los Estados miembros deben establecer esquemas nacionales de certificación con arreglo a los requisitos armonizados establecidos en el presente Reglamento y adoptados en virtud de este. Los Estados miembros deben transmitir sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea, que debe estar facultado para emitir dictámenes y recomendaciones.

(25) La certificación de la conformidad con los requisitos de ciberseguridad establecidos en el presente Reglamento debe basarse, cuando estén disponibles, en los esquemas europeos de certificación de la ciberseguridad pertinentes establecidos en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (10), que establece un marco europeo voluntario de certificación de la ciberseguridad para los productos, procesos y servicios de TIC.

(26) Con el fin de evaluar y mitigar continuamente los riesgos relacionados con la seguridad, las carteras europeas de identidad digital certificadas deben ser objeto de evaluaciones periódicas de las vulnerabilidades encaminadas a detectar cualquier vulnerabilidad en los componentes relacionados con los productos, procesos y servicios certificados de la cartera europea de identidad digital.

(27) Al proteger a los usuarios y a las empresas de los riesgos de ciberseguridad, los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento también contribuyen a mejorar la protección de los datos personales y la privacidad de las personas. Deben tenerse en cuenta las sinergias tanto en materia de normalización como de certificación en los aspectos relativos a la ciberseguridad a través de la cooperación entre la Comisión, las organizaciones europeas de normalización, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Comité Europeo de Protección de Datos creado por el Reglamento (UE) 2016/679 y las autoridades nacionales de supervisión de la protección de datos.

(28) Debe facilitarse la incorporación de los ciudadanos de la Unión y los residentes en la Unión a la cartera europea de identidad digital mediante la utilización de medios de identificación electrónica expedidos a un nivel de seguridad alto. Solo se debe recurrir a los medios de identificación electrónica expedidos a un nivel de seguridad sustancial cuando las especificaciones y procedimientos técnicos armonizados que empleen medios de identificación electrónica expedidos a un nivel de seguridad sustancial en combinación con medios complementarios de verificación de la identidad permitan el cumplimiento de los requisitos establecidos en el presente Reglamento en relación con el nivel de seguridad alto. Tales medios complementarios deben ser fiables y fáciles de utilizar, y se pueden desarrollar teniendo en cuenta la posibilidad de emplear procedimientos de incorporación a distancia, certificados cualificados sustentados en firmas electrónicas cualificadas, declaraciones electrónicas cualificadas de atributos o una combinación de estos. Para garantizar una implantación suficiente de las carteras europeas de identidad digital, deben establecerse, mediante actos de ejecución, especificaciones y procedimientos técnicos armonizados para la incorporación de los usuarios por medios de identificación electrónica, en particular aquellos expedidos a un nivel de seguridad sustancial.

(29) El objetivo del presente Reglamento consiste en proporcionar al usuario una cartera europea de identidad digital que sea completamente portátil, segura y fácil de utilizar. Como medida transitoria hasta que estén disponibles soluciones certificadas inalterables —por ejemplo, medidas de protección dentro de los dispositivos de los usuarios—, las carteras europeas de identidad digital deben poder emplear bien medidas de protección externas certificadas para proteger el material criptográfico y otros datos sensibles, bien medios de identificación electrónica notificados con un nivel de seguridad alto para demostrar el cumplimiento de los requisitos pertinentes del presente Reglamento en lo que respecta al nivel de seguridad de la cartera europea de identidad digital. El presente Reglamento se entiende sin perjuicio de las condiciones nacionales por lo que respecta a la expedición y utilización de una medida de protección externa certificada en caso de que esta medida transitoria las necesite.

(30) Las carteras europeas de identidad digital deben garantizar el máximo nivel de protección de datos y de seguridad a efectos de identificación y autenticación electrónicas para facilitar el acceso a los servicios públicos y privados, con independencia de que dichos datos se almacenen de forma local o mediante soluciones en la nube, teniendo debidamente en cuenta los diferentes niveles de riesgo.

(31) Las carteras europeas de identidad digital deben ser seguras desde el diseño y deben aplicar características de seguridad avanzadas para proteger contra la usurpación de identidad, el robo de datos, la denegación de servicio y cualquier otra ciberamenaza. Dichas medidas de seguridad deben incluir métodos de cifrado y almacenamiento de última generación que solo sean accesibles al usuario y descifrables por este, y basados en una comunicación cifrada de extremo a extremo con otras carteras europeas de identidad digital y las partes usuarias. Además, las carteras europeas de identidad digital deben requerir la confirmación segura, explícita y activa del usuario para las operaciones realizadas a través de dichas carteras.

(32) El uso gratuito de las carteras europeas de identidad digital no debe dar lugar a que el tratamiento de datos exceda lo necesario para la prestación de servicios de carteras europeas de identidad digital. El presente Reglamento no debe permitir el tratamiento de datos personales almacenados o que se deriven del uso de la cartera europea de identidad digital por el proveedor de esta con fines distintos a la prestación de servicios de cartera europea de identidad digital. Para garantizar la privacidad, los proveedores de carteras europeas de identidad digital deben garantizar la falta de observabilidad no recopilando datos y no pudiendo ver la información de las transacciones de los usuarios de la cartera europea de identidad digital. Dicha falta de observabilidad significa que los proveedores no pueden ver los detalles de las transacciones realizadas por el usuario. No obstante, en casos específicos, sobre la base del consentimiento explícito previo del usuario para cada uno de dichos casos específicos, y de plena conformidad con el Reglamento (UE) 2016/679, se puede conceder acceso a los proveedores de carteras europeas de identidad digital a la información necesaria para la prestación de un servicio concreto relacionado con las carteras europeas de identidad digital.

(33) La transparencia de las carteras europeas de identidad digital y la responsabilidad de sus proveedores son elementos clave para fomentar la confianza social y activar la aceptación del marco. Por tanto, el funcionamiento de las carteras europeas de identidad digital debe ser transparente y, en concreto, permitir un tratamiento verificable de los datos personales. Para lograrlo, los Estados miembros deben revelar el código fuente de los componentes de programas informáticos de las aplicaciones de usuario de las carteras europeas de identidad digital, incluidos los relacionados con el tratamiento de los datos personales y los datos de personas jurídicas. La publicación de este código fuente con una licencia de código abierto debe permitir a la sociedad, incluidos los usuarios y desarrolladores, comprender su funcionamiento y auditar y revisar el código. Esto aumentará la confianza de los usuarios en el ecosistema y contribuirá a la seguridad de las carteras europeas de identidad digital, al permitir que cualquier persona denuncie vulnerabilidades y errores en el código. En general, esto debe ser un incentivo para que los proveedores ofrezcan y mantengan un producto con un nivel de seguridad elevado. Sin embargo, en determinados casos, por razones debidamente justificadas, en especial con fines de seguridad pública, los Estados miembros pueden limitar la divulgación del código fuente de las librerías usadas, el canal de comunicación u otros elementos que no estén alojados en el dispositivo del usuario.

(34) El uso de las carteras europeas de identidad digital, así como la interrupción de su uso, debe ser un derecho y una opción exclusivos de los usuarios. Los Estados miembros deben desarrollar procedimientos sencillos y seguros para que los usuarios soliciten la revocación inmediata de la validez de las carteras europeas de identidad digital, también en el caso de pérdida o robo. En caso de fallecimiento del usuario o de cese de la actividad de una persona jurídica, debe establecerse un mecanismo que permita a la autoridad responsable de liquidar la sucesión de la persona física o los bienes de la persona jurídica solicitar la revocación inmediata de las carteras europeas de identidad digital.

(35) Con el fin de promover la adopción de las carteras europeas de identidad digital y un uso más extendido de las identidades digitales, los Estados miembros no solo deben promover los beneficios de los servicios pertinentes, sino también, en cooperación con el sector privado, los investigadores y el mundo académico, desarrollar programas de formación destinados a reforzar las capacidades digitales de sus ciudadanos y residentes, en particular en lo relativo a los grupos vulnerables, como las personas con discapacidad y las personas de edad avanzada. Los Estados miembros deben sensibilizar acerca de las ventajas y los riesgos de las carteras europeas de identidad digital mediante campañas de comunicación.

(36) Con el objetivo de garantizar que el marco europeo de identidad digital esté abierto a la innovación y al desarrollo tecnológico y ofrezca garantías ante el futuro, se alienta a los Estados miembros, conjuntamente, a que establezcan entornos de pruebas para experimentar con soluciones innovadoras en un entorno controlado y seguro, en particular para mejorar la funcionalidad, la protección de los datos personales, la seguridad y la interoperabilidad de las soluciones, así como para obtener información útil de cara a futuras actualizaciones de las referencias técnicas y los requisitos legales. Este entorno debe fomentar la inclusión de las pymes, las empresas emergentes y los innovadores e investigadores individuales, así como de las partes interesadas industriales pertinentes. Dichas iniciativas deben apoyar y reforzar el cumplimiento normativo y la solidez técnica de las carteras europeas de identidad digital que se proporcionará a los ciudadanos de la Unión y los residentes en la Unión, evitando así el desarrollo de soluciones que no cumplan el Derecho de la Unión en materia de protección de datos o que estén abiertas a vulnerabilidades de seguridad.

(37) El Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo (11) refuerza la seguridad de los documentos de identidad con la introducción de características de seguridad reforzadas a más tardar en agosto de 2021. Los Estados miembros deben analizar la viabilidad de notificar estos documentos en el marco de los sistemas de identificación electrónica para ampliar la disponibilidad transfronteriza de medios de identificación electrónica.

(38) Es necesario simplificar y agilizar el proceso de notificación de los sistemas de identificación electrónica para favorecer el acceso a soluciones de autenticación e identificación cómodas, seguras, innovadoras y de confianza y, cuando proceda, alentar a los proveedores de identidades privados a que ofrezcan sistemas de identificación electrónica a las autoridades de los Estados miembros con fines de notificación, como los sistemas nacionales de identificación electrónica contemplados en el Reglamento (UE) nº 910/2014.

(39) La racionalización de los procedimientos de notificación y revisión inter pares vigentes evitará la heterogeneidad de enfoques con respecto a la evaluación de los diversos sistemas de identificación electrónica notificados y facilitará la instauración de confianza entre los Estados miembros. Los mecanismos nuevos y más sencillos están destinados a estimular la cooperación de los Estados miembros en materia de seguridad e interoperabilidad de sus sistemas de identificación electrónica notificados.

(40) Los Estados miembros deben beneficiarse de la disponibilidad de herramientas nuevas y flexibles que garanticen el cumplimiento de los requisitos del presente Reglamento y de los actos de ejecución pertinentes adoptados en virtud de este. El presente Reglamento debe permitir que los Estados miembros utilicen los informes elaborados y las evaluaciones realizadas por los organismos de evaluación de la conformidad acreditados, según lo previsto en el contexto de los esquemas de certificación que deben establecerse a escala de la Unión en virtud del Reglamento (UE) 2019/881, para respaldar sus afirmaciones sobre la conformidad de dichos esquemas o de determinadas partes de ellos con el Reglamento (UE) nº 910/2014.

(41) Los prestadores de servicios públicos utilizan los datos de identificación de la persona proporcionados por los medios de identificación electrónica en virtud del Reglamento (UE) nº 910/2014 para determinar que la identidad electrónica de los usuarios procedentes de otros Estados miembros se corresponde con los datos de identificación de la persona facilitados a dichos usuarios en el Estado miembro que lleva a cabo el proceso transfronterizo de correspondencia de la identidad. No obstante, en muchos casos, a pesar del uso del conjunto mínimo de datos facilitado por los sistemas de identificación electrónica notificados, para garantizar una correspondencia precisa de la identidad cuando los Estados miembros actúan como partes usuarias se necesita información adicional sobre el usuario y que se lleven a cabo procedimientos específicos complementarios de identificación única a escala nacional. Para mejorar la facilidad de uso de los medios de identificación electrónica, prestar un mejor servicio público en línea y aumentar la seguridad jurídica respecto a la identidad electrónica de los usuarios, el Reglamento (UE) nº 910/2014 debe establecer que los Estados miembros adopten medidas específicas en línea para garantizar la correspondencia inequívoca de la identidad cuando los usuarios pretenden acceder a servicios públicos transfronterizos en línea.

(42) Al desarrollar las carteras europeas de identidad digital es esencial tener en cuenta las necesidades de los usuarios. Deben existir casos de uso significativos y servicios en línea que utilicen las carteras europeas de identidad digital disponibles. En aras de la comodidad de los usuarios y con el fin de garantizar la disponibilidad transfronteriza de dichos servicios, es importante emprender acciones para facilitar un enfoque similar en el diseño, el desarrollo y la aplicación de los servicios en línea en todos los Estados miembros. Las directrices no vinculantes sobre cómo diseñar, desarrollar y aplicar servicios en línea que utilicen las carteras europeas de identidad digital tienen el potencial de convertirse en una herramienta útil para alcanzar ese objetivo. Dichas directrices deben elaborarse teniendo en cuenta el marco de interoperabilidad de la Unión. Los Estados miembros deben desempeñar un papel de liderazgo a la hora de adoptarlas.

(43) En consonancia con la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (12), las personas con discapacidad deben poder utilizar las carteras europeas de identidad digital, los servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, en igualdad de condiciones que el resto de los usuarios.

(44) A fin de garantizar el cumplimiento efectivo del presente Reglamento, se debe establecer un mínimo para el máximo de las multas administrativas para los prestadores de servicios de confianza, tanto los cualificados como los no cualificados. Los Estados miembros deben establecer sanciones efectivas, proporcionales y disuasorias. Al determinar las sanciones, se deben tener debidamente en cuenta el tamaño de las entidades afectadas, sus modelos de negocio y la gravedad de las infracciones.

(45) Los Estados miembros deben establecer normas sobre las sanciones aplicables a las infracciones, como las prácticas directas o indirectas que den lugar a confusión entre servicios de confianza no cualificados y cualificados o al uso abusivo de la etiqueta de confianza de la UE por parte de prestadores no cualificados de servicios de confianza. La etiqueta de confianza de la UE no debe utilizarse en condiciones que, directa o indirectamente, lleven a la percepción de que los servicios de confianza no cualificados ofrecidos por esos prestadores están cualificados.

(46) El presente Reglamento no debe regular los aspectos relacionados con la celebración y validez de los contratos u otras obligaciones legales cuando existan requisitos de índole formal establecidos por el Derecho de la Unión o nacional. Por otro lado, no debe afectar a los requisitos nacionales de índole formal correspondientes a los registros públicos, en particular los registros mercantiles y de la propiedad.

(47) La prestación y utilización de servicios de confianza y las ventajas que conllevan en términos de comodidad y seguridad jurídica en el contexto de las transacciones transfronterizas, en especial cuando se utilizan servicios de confianza cualificados, está adquiriendo una importancia creciente para el comercio y la cooperación internacionales. Los socios internacionales de la Unión están creando marcos de confianza inspirados en el Reglamento (UE) nº 910/2014. Para facilitar el reconocimiento de servicios de confianza cualificados y de sus prestadores, la Comisión podrá adoptar actos de ejecución en los que se establezcan las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza para servicios de confianza cualificados y sus prestadores previsto en el presente Reglamento. Dicho enfoque debe complementar la posibilidad del reconocimiento mutuo de los servicios de confianza y sus prestadores establecidos en la Unión y en terceros países de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE). Al establecer las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza previsto con arreglo al Reglamento (UE) nº 910/2014 para los servicios de confianza cualificados y sus prestadores, debe garantizarse el cumplimiento de las disposiciones pertinentes de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (13) y del Reglamento (UE) 2016/679, así como el uso de listas de confianza por ser elementos esenciales para generar confianza.

(48) El presente Reglamento debe fomentar la elección entre carteras europeas de identidad digital y la posibilidad de cambiarlas cuando el Estado miembro haya refrendado más de una solución de carteras europeas de identidad digital en su territorio. Con el fin de evitar efectos de bloqueo en tales situaciones, cuando sea técnicamente posible, los proveedores de carteras europeas de identidad digital deben garantizar la portabilidad efectiva de los datos a petición de los usuarios de las carteras europeas de identidad digital, y no se les debe permitir que utilicen barreras contractuales, económicas o técnicas para impedir o desalentar el cambio efectivo entre diferentes carteras europeas de identidad digital.

(49) Para garantizar el correcto funcionamiento de las carteras europeas de identidad digital, los proveedores de estas necesitan una interoperabilidad efectiva y condiciones justas, razonables y no discriminatorias para que las carteras europeas de identidad digital accedan a las características y de equipo y programa informático específicas de los dispositivos móviles. Dichos componentes pueden incluir, en particular, antenas de comunicación de campo próximo y medidas de protección, como tarjetas de circuito integrado universal, medidas de protección integradas, tarjetas microSD y Bluetooth de baja energía. El acceso a estos componentes podría estar bajo el control de los operadores de redes móviles y los fabricantes de equipos. Por tanto, cuando se necesiten para ofrecer los servicios de las carteras europeas de identidad digital, los fabricantes de los equipos originales de dispositivos móviles o los prestadores de servicios de comunicación electrónica no deben rechazar el acceso a dichos componentes. Asimismo, las empresas designadas como guardianes de acceso para los prestadores de servicios básicos en la lista publicada por la Comisión en virtud del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (14) deben seguir sujetas a las disposiciones específicas de dicho Reglamento, sobre la base de su artículo 6, apartado 7.

(50) A fin de racionalizar las obligaciones impuestas a los prestadores de servicios de confianza en materia de ciberseguridad y de permitir a dichos prestadores y sus respectivas autoridades competentes beneficiarse del marco jurídico que se establece en la Directiva (UE) 2022/2555, los servicios de confianza deben adoptar medidas técnicas y organizativas adecuadas en virtud de dicha Directiva —como las dirigidas a corregir fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales—, con objeto de gestionar los riesgos para la seguridad de las redes y los sistemas de información que emplean dichos prestadores en la prestación de sus servicios, y de notificar incidentes y ciberamenazas importantes de conformidad con dicha Directiva. Con respecto a la notificación de incidentes, los prestadores de servicios de confianza deben notificar cualquier incidente que tenga un efecto considerable en la prestación de sus servicios, especialmente los causados por el robo o extravío de dispositivos, el deterioro de los cables de red o incidentes que ocurran en el contexto de la identificación de personas. Los requisitos en materia de gestión de riesgos de la ciberseguridad y las obligaciones de notificación que contempla la Directiva (UE) 2022/2555 deben considerarse complementarios a los requisitos impuestos a los prestadores de servicios de confianza con arreglo al presente Reglamento. Cuando corresponda, las autoridades competentes designadas en virtud de la Directiva (UE) 2022/2555 deben seguir aplicando las prácticas u orientaciones nacionales establecidas en relación con la aplicación de los requisitos de seguridad y notificación y con la supervisión del cumplimiento de dichos requisitos en virtud del Reglamento (UE) nº 910/2014. El presente Reglamento no afecta a la obligación de notificar las violaciones de la seguridad de los datos personales en virtud del Reglamento (UE) 2016/679.

(51) Se debe prestar la debida atención para garantizar una cooperación eficaz entre los organismos de supervisión designados en virtud del artículo 46 ter del Reglamento (UE) nº 910/2014 y las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555. Cuando dicho organismo de supervisión sea distinto de dicha autoridad competente, deben cooperar estrechamente y de manera oportuna, intercambiando la información pertinente a fin de garantizar que se realiza una supervisión eficaz y que los prestadores de servicios de confianza cumplen los requisitos establecidos en el Reglamento (UE) nº 910/2014 y en la Directiva (UE) 2022/2555. En particular, los organismos de supervisión designados en virtud del Reglamento (UE) nº 910/2014 deben estar facultados para solicitar a la autoridad competente designada o establecida en virtud de la Directiva (UE) 2022/2555 que proporcione la información pertinente necesaria para otorgar la cualificación y que emprenda las acciones de supervisión requeridas para verificar que los prestadores de servicios de confianza cumplen los requisitos pertinentes de la Directiva (UE) 2022/2555 o exigir a estos que subsanen cualquier incumplimiento.

(52) Es esencial proporcionar un marco jurídico para facilitar el reconocimiento transfronterizo entre los ordenamientos jurídicos nacionales existentes relacionados con servicios de entrega electrónica certificada. Dicho marco puede abrir, además, nuevas oportunidades de mercado que permitan a los prestadores de servicios de confianza de la Unión ofrecer nuevos servicios de entrega electrónica certificada en toda la Unión. A fin de garantizar que los datos que utilizan un servicio cualificado de entrega electrónica certificada se entreguen al destinatario correcto, los servicios cualificados de entrega electrónica certificada deben garantizar con total certeza la identificación del destinatario, mientras que en lo que respecta a la identificación del remitente es suficiente un nivel de confianza alto. Los Estados miembros deben animar a los prestadores de servicios cualificados de entrega electrónica certificada a que sus servicios sean interoperables con los servicios cualificados de entrega electrónica certificada prestados por otros prestadores cualificados de servicios de confianza a fin de transferir fácilmente los datos electrónicos registrados entre dos o más prestadores cualificados de servicios de confianza y promover prácticas justas en el mercado interior.

(53) En la mayoría de los casos, los ciudadanos de la Unión y los residentes en la Unión no pueden intercambiar información digital relacionada con su identidad, como su dirección, su edad, sus cualificaciones profesionales, su permiso de conducción y otros permisos y datos de pago, a escala transfronteriza, de forma segura y con un nivel de protección de datos alto.

(54) Debe ser posible emitir y gestionar atributos electrónicos fiables, así como contribuir a reducir la carga administrativa, de modo que se faculte a los ciudadanos de la Unión y a los residentes en la Unión para utilizar estos atributos en sus transacciones públicas y privadas. Por ejemplo, los ciudadanos de la Unión y los residentes en la Unión han de poder demostrar la titularidad de un permiso de conducción válido expedido por una autoridad de un Estado miembro, susceptible de ser verificada y admitida por las autoridades competentes de otro Estado miembro, así como utilizar sus credenciales de seguridad social o los futuros documentos digitales de viaje en un contexto transfronterizo.

(55) Todo prestador de servicios que emita atributos declarados en formato electrónico —como diplomas, permisos, certificados de nacimiento o poderes y mandatos para representar a personas físicas o jurídicas o actuar en su nombre— debe considerarse un prestador de servicios de confianza de declaraciones electrónicas de atributos. No se deben denegar los efectos jurídicos de una declaración electrónica de atributos por el mero hecho de que esta haya sido emitida en formato electrónico o porque no cumpla todos los requisitos de la declaración electrónica cualificada de atributos. Deben establecerse requisitos generales para asegurar que una declaración electrónica cualificada de atributos tenga un efecto jurídico equivalente al de las declaraciones legalmente emitidas en papel. Sin embargo, tales requisitos deben aplicarse sin perjuicio de que el Derecho de la Unión o nacional defina requisitos de índole formal adicionales específicos del sector con efectos jurídicos subyacentes, y, en particular, el reconocimiento transfronterizo de la declaración electrónica cualificada de atributos, cuando corresponda.

(56) La amplia disponibilidad y facilidad de uso de las carteras europeas de identidad digital debe fomentar su aceptación y confianza tanto por los particulares como por los prestadores de servicios privados. Por consiguiente, las partes usuarias privadas que prestan servicios, por ejemplo, en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, las telecomunicaciones o la educación deben aceptar el uso de las carteras europeas de identidad digital para la prestación de servicios en los casos en los que el Derecho de la Unión, nacional o una obligación contractual requieran una autenticación reforzada de usuario para la identificación en línea. Toda solicitud formulada por una parte usuaria de información del usuario de una cartera europea de identificación digital debe ser necesaria y proporcionada al uso previsto en un caso determinado, debe seguir el principio de minimización de datos y debe garantizar la transparencia en lo que respecta a los datos que se comparten y sus fines. Para facilitar el uso y la aceptación de las carteras europeas de identidad digital, en su implantación deben tenerse en cuenta las normas y especificaciones industriales ampliamente aceptadas.

(57) Cuando las plataformas en línea de muy gran tamaño, en el sentido del artículo 33, apartado 1, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (15) exijan a los usuarios que están autenticados a fin de acceder a servicios en línea, debe requerirse a dichas plataformas que acepten el uso de carteras europeas de identidad digital si así lo solicita voluntariamente el usuario. Los usuarios no deben tener ninguna obligación de utilizar una cartera europea de identidad digital para acceder a servicios privados y su acceso a los servicios no debe verse restringido ni obstaculizado por no utilizar una cartera europea de identidad digital. No obstante, si los usuarios así lo desean, las plataformas en línea de muy gran tamaño deben aceptarlas a tal fin, respetando en todo momento el principio de minimización de datos y el derecho de los usuarios a utilizar seudónimos libremente elegidos. La obligación de aceptar carteras europeas de identidad digital es necesaria para incrementar la protección de los usuarios frente al fraude y garantizar un nivel de protección de datos alto, dada la importancia de las plataformas en línea de muy gran tamaño y debido a su alcance, en particular por lo que respecta al número de receptores del servicio y de transacciones económicas.

(58) Deben desarrollarse códigos de conducta a escala de la Unión para contribuir a una amplia disponibilidad y facilidad de uso de los medios de identificación electrónica (como las carteras europeas de identidad digital) contemplados en el ámbito de aplicación del presente Reglamento. Los códigos de conducta deben facilitar una aceptación amplia de los medios de identificación electrónica, incluidas las carteras europeas de identidad digital, por parte de los prestadores de servicios que no se ajusten a la definición de plataformas de muy gran tamaño y que recurran a servicios de identificación electrónica de terceros para autenticar a sus usuarios.

(59) La divulgación selectiva es un concepto que faculta al propietario de los datos para revelar solo determinadas partes de un conjunto de datos más amplio, a fin de que la entidad receptora obtenga únicamente la información que sea necesaria para la prestación de un servicio solicitado por el usuario. La cartera europea de identidad digital debe permitir técnicamente la divulgación selectiva de atributos a las partes usuarias. Debe ser técnicamente posible para el usuario divulgar esos atributos de manera selectiva, incluso a partir de varias declaraciones electrónicas distintas y combinarlos y presentarlos sin incidencias a las partes usuarias. Esta característica debe convertirse en una característica básica del diseño de las carteras europeas de identidad digital, reforzando así la comodidad y la protección de los datos personales, en especial la minimización de datos.

(60) A menos que haya normas específicas del Derecho de la Unión o nacional que exijan que los usuarios se identifiquen, no debe prohibirse el acceso a los servicios utilizando un seudónimo.

(61) Los atributos proporcionados por los prestadores cualificados de servicios de confianza como parte de la declaración cualificada de atributos deben ser cotejados con fuentes auténticas, ya sea directamente por el prestador cualificado de servicios de confianza o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional, a efectos de proteger el intercambio de atributos declarados entre los prestadores de servicios de identificación o de servicios de declaración de atributos y las partes usuarias. Los Estados miembros deben establecer mecanismos adecuados a escala nacional para garantizar que los prestadores cualificados de servicios de confianza que emitan declaraciones electrónicas cualificadas de atributos puedan, sobre la base del consentimiento de la persona a la que se expide la declaración, verificar la autenticidad de los atributos que dependen de fuentes auténticas. Debe ser posible que los mecanismos adecuados incluyan el recurso a intermediarios específicos o a soluciones técnicas de acuerdo con el Derecho nacional que permitan el acceso a fuentes auténticas. Garantizar la disponibilidad de un mecanismo que permita el cotejo de atributos con fuentes auténticas tiene por objeto facilitar que los prestadores cualificados de servicios de confianza de declaraciones electrónicas cualificadas de atributos cumplan las obligaciones que les impone el Reglamento (UE) nº 910/2014. Un nuevo anexo de dicho Reglamento debe contener una lista de categorías de atributos respecto de los cuales los Estados miembros deben velar por que se adopten medidas para que los prestadores cualificados de declaraciones electrónicas de atributos puedan cotejar su autenticidad con la fuente auténtica pertinente por medios electrónicos, a petición del usuario.

(62) La identificación electrónica segura y la provisión de declaraciones de atributos deben ofrecer flexibilidad y soluciones adicionales para el sector de los servicios financieros, con objeto de posibilitar la identificación de los clientes y el intercambio de los atributos específicos necesarios para cumplir, entre otros, los requisitos de debida diligencia con los clientes en virtud de un futuro Reglamento por el que se establezca la autoridad de lucha contra el blanqueo de capitales, [añádase la referencia una vez adoptada la propuesta], los requisitos de idoneidad que emanan del Derecho sobre la protección de los inversores, o para facilitar el cumplimiento de los requisitos de autenticación reforzada del cliente para la identificación en línea a efectos de la conexión a las cuentas o la realización de transacciones en el ámbito de los servicios de pago.

(63) No se han de impugnar los efectos jurídicos de una firma electrónica por el mero hecho de que se haya emitido en formato electrónico o porque no cumpla todos los requisitos de la firma electrónica cualificada. Sin embargo, corresponde al Derecho nacional determinar el efecto jurídico de la firma electrónica excepto los requisitos establecidos en el presente Reglamento conforme a los que el efecto jurídico de una firma electrónica se considera equivalente al de una firma manuscrita. Al determinar los efectos jurídicos de las firmas electrónicas, los Estados miembros deben tener en cuenta el principio de proporcionalidad entre el valor jurídico de un documento que debe firmarse y el nivel de seguridad y coste que exige una firma electrónica. Para aumentar la accesibilidad y el uso de las firmas electrónicas, se anima a los Estados miembros a considerar el uso de firmas electrónicas avanzadas en las transacciones diarias, para las que proporcionan un nivel suficiente de seguridad y confianza.

(64) A fin de garantizar la coherencia de las prácticas de certificación en toda la Unión, la Comisión debe emitir directrices sobre la certificación y la renovación de la certificación de los dispositivos cualificados de creación de firma electrónica y de los dispositivos cualificados de creación de sello electrónico, incluidas su validez y sus limitaciones temporales. El presente Reglamento no impide que los organismos públicos o privados que hayan certificado dispositivos cualificados de creación de firma electrónica recertifiquen temporalmente dicho producto durante un corto período de certificación, sobre la base del resultado del proceso de certificación anterior, cuando dicha recertificación no pueda realizarse dentro del plazo legalmente establecido por un motivo distinto de una infracción o incidente de seguridad, sin perjuicio de la obligación de llevar a cabo una evaluación de la vulnerabilidad y de la práctica de certificación aplicable.

(65) La expedición de certificados de autenticación de sitios web tiene la finalidad de proporcionar a los usuarios una certeza, con un nivel de confianza alto, sobre la identidad de la entidad que respalda la existencia del sitio web, independientemente de la plataforma utilizada para mostrar dicha identidad. Estos certificados deben contribuir a crear confianza en la realización de operaciones mercantiles en línea, dado que los usuarios confiarían en un sitio web que haya sido autenticado. El uso tales certificados por parte de los sitios web debe ser voluntario. Para que la autenticación de sitios web llegue a ser un medio a través del cual aumentar la confianza, proporcionar al usuario una experiencia mejor y fomentar el crecimiento en el mercado interior, el presente Reglamento establece un marco de confianza que incluye obligaciones mínimas de seguridad y responsabilidad para los proveedores de certificados cualificados de autenticación de sitios web y los requisitos para la expedición de dichos certificados. Las listas de confianza nacionales deben confirmar la cualificación de los servicios de autenticación de sitios web y de sus prestadores cualificados de servicios de confianza, incluido su pleno cumplimiento de los requisitos del presente Reglamento en lo que respecta a la expedición de certificados cualificados de autenticación de sitios web. El reconocimiento de certificados cualificados de autenticación de sitios web conlleva que los proveedores de navegadores web no deben denegar la autenticidad de los certificados cualificados de autenticación de sitios web a efectos de declarar el vínculo entre el nombre de dominio del sitio web y la persona física o jurídica a la que se expide el certificado o confirmar la identidad de dicha persona. Los proveedores de navegadores web deben mostrar los datos de identificación de la persona certificados y los demás atributos declarados al usuario final de manera fácil de usar en el entorno del navegador, mediante los medios técnicos de su elección. Con este fin, los proveedores de navegadores web deben garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web expedidos en pleno cumplimiento del presente Reglamento. La obligación de reconocimiento e interoperabilidad y apoyo de los certificados cualificados para la autenticación de sitios web no afecta a la libertad de los proveedores de navegadores web para garantizar la seguridad de la web, la autenticación de dominios y el cifrado del tráfico en la web de la manera y mediante la tecnología que consideren más adecuada. Con el fin de contribuir a la seguridad en línea de los usuarios finales, los proveedores de navegadores web deben poder —en circunstancias excepcionales— adoptar medidas cautelares necesarias y proporcionadas en respuesta a preocupaciones justificadas en relación con violaciones de la seguridad o pérdida de integridad de un certificado o conjunto de certificados identificados. Cuando adopten tales medidas cautelares, los proveedores de navegadores web deben notificar, sin demora indebida, a la Comisión, al organismo nacional de supervisión, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya emitido dicho certificado o conjunto de certificados, cualquier preocupación relacionada con una violación de la seguridad o pérdida de integridad de ese tipo, así como las medidas adoptadas en relación con el único certificado o conjunto de certificados. Dichas medidas deben entenderse sin perjuicio de la obligación de los proveedores de navegadores web de reconocer los certificados cualificados de autenticación de sitios web de conformidad con las listas de confianza nacionales. Para mejorar la protección de los ciudadanos de la Unión y los residentes en la Unión y promover el uso de certificados cualificados para la autenticación de sitios web, las autoridades públicas de los Estados miembros deben estudiar la posibilidad de incorporar dichos certificados en sus sitios web. Las medidas previstas en el presente Reglamento destinadas a aumentar la coherencia entre los enfoques y prácticas divergentes de los Estados miembros en relación con los procedimientos de supervisión tienen por objeto contribuir a mejorar la confianza en la seguridad, la calidad y la disponibilidad de los certificados cualificados para la autenticación de sitios web.

(66) Muchos Estados miembros han introducido requisitos nacionales aplicables a la prestación de servicios que proporcionen un archivo electrónico seguro y fiable con el objetivo de posibilitar la conservación a largo plazo de datos documentos electrónicos y de los servicios de confianza asociados a estos. A fin de garantizar la seguridad jurídica, la confianza y la armonización en todos los Estados miembros, debe establecerse un marco jurídico para los servicios cualificados de archivo electrónico, inspirado en el marco de los demás servicios de confianza establecidos en el presente Reglamento. El marco jurídico para los servicios cualificados de archivo electrónico debe ofrecer a los prestadores de servicios de confianza y a los usuarios un conjunto de herramientas eficiente que incluya requisitos funcionales aplicables al servicio de archivo electrónico, así como efectos jurídicos claros cuando se utilice un servicio cualificado de archivo electrónico. Dichas disposiciones deben aplicarse a los datos y documentos electrónicos creados en forma digital, así como a los documentos en papel escaneados y digitalizados. Cuando sea necesario, dichas disposiciones deben permitir la reproducción de los datos y documentos electrónicos conservados en diferentes soportes o formatos con el fin de ampliar su durabilidad y legibilidad después del período de validez tecnológica, evitando al mismo tiempo la pérdida y la alteración en la medida de lo posible. Cuando los datos y documentos electrónicos presentados al servicio de archivo electrónico contengan una o varias firmas electrónicas cualificadas o sellos electrónicos cualificados, el servicio debe utilizar procedimientos y tecnologías capaces de ampliar su fiabilidad durante el período de conservación de dichos datos, posiblemente basándose en el uso de otros servicios de confianza cualificados establecidos por el presente Reglamento. Con el fin de crear pruebas de conservación cuando se utilicen firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, deben utilizarse servicios de confianza cualificados. En la medida en que los servicios de archivo electrónico no están armonizados por el presente Reglamento, los Estados miembros deben poder mantener o introducir disposiciones nacionales, de conformidad con el Derecho de la Unión, relativas a dichos servicios, tales como disposiciones específicas para los servicios integrados en una organización y únicamente utilizados para los archivos internos de dicha organización. El presente Reglamento no debe distinguir entre datos y documentos electrónicos creados en forma digital y documentos físicos que han sido digitalizados.

(67) Las actividades de los archivos nacionales y las instituciones de la memoria, en su calidad de organizaciones dedicadas a la conservación del patrimonio documental en interés público, suelen estar reguladas por el Derecho nacional y no prestan necesariamente servicios de confianza en el sentido del presente Reglamento. En la medida en que dichas instituciones no presten tales servicios de confianza, el presente Reglamento se entiende sin perjuicio de su funcionamiento.

(68) Los libros mayores electrónicos son una secuencia de registros electrónicos de datos que deben garantizar su integridad y la exactitud de su orden cronológico. Los libros mayores electrónicos deben establecer una secuencia cronológica de registros de datos. Junto con otras tecnologías, deben contribuir a encontrar soluciones para unos servicios públicos más eficientes y con capacidad transformadora, como el voto electrónico, la cooperación transfronteriza de las autoridades aduaneras o de las instituciones académicas y la inscripción de la propiedad de bienes inmuebles en registros descentralizados de la propiedad inmobiliaria. Los libros mayores electrónicos cualificados deben establecer una presunción legal sobre el orden cronológico secuencial único y exacto y la integridad de los registros de datos del libro mayor. Habida cuenta de sus particularidades, como el orden cronológico secuencial de los registros de datos, los libros mayores electrónicos deben distinguirse de otros servicios de confianza, como los sellos de tiempo electrónicos y los servicios de entrega electrónica certificada. Para garantizar la seguridad jurídica y promover la innovación, debe establecerse un marco jurídico a escala de la Unión que prevea el reconocimiento transfronterizo de servicios de confianza para el registro de los datos en libros mayores electrónicos. Esto debe impedir suficientemente copiar y vender más de una vez el mismo activo digital a diferentes partes. El proceso de creación y actualización de un libro mayor electrónico depende del tipo de libro mayor utilizado; en particular, si es centralizado o distribuido. El presente Reglamento debe garantizar la neutralidad tecnológica; es decir, no favorecer ni discriminar a ninguna tecnología utilizada para implantar el nuevo servicio de confianza para libros mayores electrónicos. Además, la Comisión debe tener en cuenta los indicadores de sostenibilidad con respecto a cualquier repercusión negativa sobre el clima u otras repercusiones negativas relacionadas con el medio ambiente y utilizar métodos adecuados, a la hora de preparar los actos de ejecución que especifiquen los requisitos aplicables a los libros mayores electrónicos cualificados.

(69) El papel de los prestadores de servicios de confianza de los libros mayores electrónicos debe ser comprobar la actividad de registro secuencial de los datos en el libro mayor. El presente Reglamento se entiende sin perjuicio de las obligaciones jurídicas que tengan los usuarios de libros mayores electrónicos con arreglo al Derecho de la Unión o nacional. Por ejemplo, los casos de uso que conlleven el tratamiento de datos personales deben cumplir el Reglamento (UE) 2016/679 y los casos de uso que se relacionen con los servicios financieros deben cumplir con el Derecho pertinente de la Unión en materia de servicios financieros.

(70) Al objeto de evitar la fragmentación del mercado interior y los obstáculos en este, derivados de unas normas y unas restricciones técnicas divergentes, y de garantizar un proceso coordinado para impedir que se vea afectada la aplicación del futuro marco europeo de identidad digital, se necesita un proceso de cooperación estrecha y estructurada entre la Comisión, los Estados miembros, la sociedad civil, el mundo académico y el sector privado. Para lograr ese objetivo, los Estados miembros y la Comisión deben cooperar dentro del marco establecido en la Recomendación (UE) 2021/946 (16) de la Comisión para determinar un conjunto de instrumentos común de la Unión para el marco para una identidad digital europea. En este contexto, los Estados miembros deben ponerse de acuerdo sobre una arquitectura técnica y un marco de referencia detallados, un conjunto de normas y referencias técnicas comunes —incluidas las normas reconocidas existentes— y un conjunto de directrices y descripciones de las mejores prácticas que aborden, como mínimo, todas las funcionalidades y la interoperabilidad de las carteras europeas de identidad digital (incluidas las firmas electrónicas) y de los prestadores cualificados de servicios de confianza para la declaración electrónica de atributos, según lo dispuesto en el presente Reglamento. En este contexto, los Estados miembros deben alcanzar asimismo un acuerdo sobre los elementos comunes del modelo de negocio y la estructura de las tasas de las carteras europeas de identidad digital para facilitar su adopción, en particular por parte de las pequeñas y medianas empresas, en un contexto transfronterizo. El contenido del conjunto de herramientas debe reflejar los resultados del debate y del proceso de adopción del marco europeo de identidad digital, y evolucionar de forma paralela a dichos resultados.

(71) El presente Reglamento establece un nivel armonizado de calidad, fiabilidad y seguridad de los servicios de confianza cualificados, independientemente del lugar en el que se lleven a cabo las operaciones. Por lo tanto, un prestador cualificado de servicios de confianza debe estar autorizado a externalizar sus operaciones relacionadas con la prestación de un servicio de confianza cualificado en un tercer país, siempre que ese tercer país ofrezca garantías adecuadas de que las actividades de supervisión y las auditorías puedan ejecutarse como si estas se llevaran a cabo en la Unión. Cuando no pueda garantizarse plenamente el cumplimiento del presente Reglamento, los organismos de supervisión deben poder adoptar medidas proporcionadas y justificadas, incluida la retirada de la cualificación del servicio de confianza prestado.

(72) Para ofrecer seguridad jurídica en lo que respecta a la validez de las firmas electrónicas avanzadas basadas en certificados cualificados, es esencial que se especifique la evaluación por la parte usuaria que lleva a cabo la validación de dicha firma electrónica avanzada basada en certificados cualificados.

(73) Los prestadores de servicios de confianza deben utilizar métodos criptográficos que reflejen las mejores prácticas actuales y la ejecución fiable de los algoritmos a fin de garantizar la seguridad y fiabilidad de sus servicios de confianza.

(74) El presente Reglamento establece la obligación de que los prestadores cualificados de servicios de confianza verifiquen la identidad de una persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos conforme a diversos métodos armonizados en toda la Unión. Para garantizar que los certificados cualificados y las declaraciones electrónicas cualificadas de atributos se expidan a la persona a la que pertenecen y que atestigüen el conjunto de datos correcto y único que representa la identidad de dicha persona, los prestadores cualificados de servicios de confianza que expidan certificados cualificados o declaraciones electrónicas cualificadas de atributos deben, en el momento de la expedición de dichos certificados y declaraciones, garantizar con total certeza la identificación de dicha persona. Asimismo, además de la verificación obligatoria de la identidad de la persona, si procede para la expedición de los certificados cualificados y al expedir una declaración electrónica cualificada de atributos, los prestadores cualificados de servicios de confianza deben garantizar con total certeza la corrección y la exactitud de los atributos declarados de la persona a la que se expide el certificado cualificado o la declaración electrónica cualificada de atributos. Esas obligaciones de resultado y total certeza a la hora de verificar los datos declarados deben respaldarse a través de medios adecuados, en particular utilizando uno de los métodos concretos previstos en el presente Reglamento o, cuando sea necesario, una combinación de estos. Debe ser posible combinar dichos métodos a fin de proporcionar una base adecuada para la verificación de la identidad de la persona a la que se expide el certificado cualificado o una declaración electrónica cualificada de atributos. Dicha combinación debe poder incluir el recurso a medios de identificación electrónica que cumplan los requisitos del nivel de seguridad sustancial en combinación con otros medios de verificación de la identidad. Dicha identificación electrónica permitiría el cumplimiento de los requisitos armonizados establecidos en el presente Reglamento en lo que respecta al nivel de seguridad alto como parte de procedimientos a distancia armonizados adicionales que garanticen la identificación con un nivel de confianza alto. Dichos métodos deben incluir la posibilidad de que el prestador cualificado de servicios de confianza que expida una declaración electrónica cualificada de atributos coteje los atributos que deben declararse por medios electrónicos a petición del usuario, de conformidad con el Derecho de la Unión o nacional, también con fuentes auténticas.

(75) Para mantener el presente Reglamento en consonancia con la evolución mundial y seguir las mejores prácticas en el mercado interior, los actos delegados y de ejecución adoptados por la Comisión deben revisarse y, en caso necesario, actualizarse periódicamente. La evaluación de la necesidad de dichas actualizaciones debe tener en cuenta las nuevas tecnologías, prácticas, normas o especificaciones técnicas.

(76) Dado que los objetivos del presente Reglamento —a saber, el desarrollo del marco europeo de identidad digital a escala de la UE y de un marco de servicios de confianza— no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(77) Se ha consultado al Supervisor Europeo de Protección de Datos de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.

(78) Por lo tanto, procede modificar el Reglamento (UE) nº 910/2014 en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1. Modificaciones al Reglamento (UE) nº 910/2014

El Reglamento (UE) nº 910/2014 se modifica como sigue:

1) El artículo 1 se sustituye por el texto siguiente:

«Artículo 1.Objeto

El presente Reglamento tiene por objeto garantizar el correcto funcionamiento del mercado interior y la existencia de un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza utilizados en toda la Unión, a fin de permitir y facilitar que las personas físicas y jurídicas ejerzan el derecho a participar en la sociedad digital de forma segura y a acceder a los servicios públicos y privados en línea en toda la Unión. A tales efectos, el presente Reglamento:

a) establece las condiciones en las cuales los Estados miembros reconocerán los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro y en las que proporcionarán y reconocerán las carteras europeas de identidad digital;

b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas;

c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada, los servicios certificados para la autenticación de sitios web, el archivo electrónico, la declaración electrónica de atributos, los dispositivos de creación de firmas electrónicas y de sellos electrónicos, y los libros mayores electrónicos.».

2) El artículo 2 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   El presente Reglamento se aplica a los sistemas de identificación electrónica notificados por los Estados miembros, a las carteras europeas de identidad digital proporcionadas por los Estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3.   El presente Reglamento no afecta al Derecho de la Unión o nacional relacionado con la celebración y validez de los contratos, otras obligaciones jurídicas o de procedimiento de índole formal o requisitos sectoriales de índole formal.

4.   El presente Reglamento se entiende sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*1).

3) El artículo 3 se modifica como sigue:

a) los puntos 1 a 5 se sustituyen por el texto siguiente:

«1) “identificación electrónica”, proceso consistente en utilizar los datos de identificación de la persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica;

2) “medios de identificación electrónica”, unidad material yo inmaterial que contiene los datos de identificación de la persona y que se utiliza para la autenticación en servicios en línea o, cuando proceda, en servicios fuera de línea;

3) “datos de identificación de la persona”, conjunto de datos que se emite de conformidad con el Derecho de la Unión o nacional y permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a otra persona física o a una persona jurídica;

4) “sistema de identificación electrónica”, régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a personas físicas o jurídicas o a personas físicas que representan a otras personas físicas o personas jurídicas;

5) “autenticación”, proceso electrónico que permite la confirmación de la identificación electrónica de una persona física o jurídica, o la confirmación del origen y la integridad de datos en formato electrónico;»;

b) se inserta el punto siguiente:

«5 bis)

“usuario”, persona física o jurídica, o persona física que representa a otra persona física o a una persona jurídica, que utiliza servicios de confianza o medios de identificación electrónica prestados de conformidad con el presente Reglamento;»;

c) el punto 6 se sustituye por el texto siguiente:

«6) “parte usuaria”, persona física o jurídica que confía en la identificación electrónica, las carteras europeas de identidad digital u otros medios de identificación electrónica, o en un servicio de confianza;»;

d) el punto 16 se sustituye por el texto siguiente:

«16) “servicio de confianza”, servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en cualquiera de las actividades siguientes:

a) la expedición de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

b) la validación de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

c) la creación de firmas electrónicas o sellos electrónicos;

d) la validación de firmas electrónicas o sellos electrónicos;

e) la conservación de firmas electrónicas, sellos electrónicos, certificados de firma electrónica o certificados de sello electrónico;

f) la gestión de dispositivos de creación de firma electrónica a distancia o dispositivos de creación de sello electrónico a distancia;

g) la expedición de declaraciones electrónicas de atributos;

h) la validación de declaraciones electrónicas de atributos;

i) la creación de sellos de tiempo electrónicos;

j) la validación de sellos de tiempo electrónicos;

k) la prestación de servicios de entrega electrónica certificada;

l) la validación de los datos transmitidos a través de servicios de entrega electrónica certificada y las pruebas correspondientes;

m) el archivo electrónico de datos y documentos electrónicos;

n) la actividad de registro de datos electrónicos en un libro mayor electrónico.»;

e) el punto 18 se sustituye por el texto siguiente:

«18) “organismo de evaluación de la conformidad”, organismo de evaluación de la conformidad definido en el artículo 2, punto 13, del Reglamento (CE) nº 765/2008, cuya competencia para realizar una evaluación de la conformidad de un prestador cualificado de servicios de confianza y de los servicios de confianza cualificados que este presta, o cuya competencia para certificar carteras europeas de identidad digital o medios de identificación electrónica, esté acreditada en virtud de dicho Reglamento;»;

f) el punto 21 se sustituye por el texto siguiente:

«21) “producto”, equipo o programa informático o sus componentes correspondientes, destinado a ser utilizado para la prestación de servicios de identificación electrónica y servicios de confianza;»;

g) se insertan los puntos siguientes:

«23 bis) “dispositivo cualificado de creación de firma electrónica a distancia”, dispositivo cualificado de creación de firmas electrónicas que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 29 bis, en nombre de un firmante;

23 ter) “dispositivo cualificado de creación de sello electrónico a distancia”, dispositivo cualificado de creación de sellos electrónicos que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 39 bis, en nombre de un creador de sellos;»;

h) el punto 38 se sustituyen por el texto siguiente:

«38) “certificado de autenticación de sitio web”, declaración electrónica que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;»;

i) el punto 41 se sustituye por el texto siguiente:

«41) “validación”, proceso consistente en verificar y confirmar que los datos en formato electrónico son válidos de conformidad con el presente Reglamento;»;

j) se añaden los puntos siguientes:

«42) “cartera europea de identidad digital”, medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura datos de identificación de la persona y declaraciones electrónicas de atributos con el fin de proporcionarlos a las partes usuarias y a otros usuarios de carteras europeas de identidad digital, así como firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

43) “atributo”, característica, cualidad, derecho o permiso de una persona física o jurídica o de un objeto;

44) “declaración electrónica de atributos”, declaración en formato electrónico que permite la autenticación de atributos;

45) “declaración electrónica cualificada de atributos”, declaración electrónica de atributos expedida por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo V;

46) “declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este”, declaración electrónica de atributos expedida por un organismo del sector público que sea responsable de una fuente auténtica o por un organismo del sector público que sea designado por el Estado miembro para expedir dichas declaraciones de atributos en nombre de los organismos del sector público responsables de las fuentes auténticas de conformidad con el artículo 45 septies y con el anexo VII;

47) “fuente auténtica”, repositorio o sistema, mantenido bajo la responsabilidad de un organismo del sector público o de una entidad privada, que contiene y proporciona atributos acerca de una persona física o jurídica, o de un objeto, y que se considera una fuente principal de dicha información, o que está reconocido como auténtico de conformidad con el Derecho de la Unión o nacional, incluidas las prácticas administrativas;

48) “archivo electrónico”, servicio que garantiza la recepción, el almacenamiento, la recuperación y la eliminación de datos electrónicos y documentos electrónicos para asegurar su durabilidad y legibilidad, así como para preservar su integridad, confidencialidad y prueba de origen durante todo el período de conservación;

49) “servicio cualificado de archivo electrónico”, servicio de archivo electrónico prestado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 undecies;

50) “etiqueta de confianza de la UE para la cartera de identidad digital”, indicación verificable, sencilla y reconocible formulada de manera clara, de que la cartera europea de identidad digital de que se trate se ha proporcionado de conformidad con el presente Reglamento;

51) “autenticación reforzada de usuario”, autenticación basada en la utilización de al menos dos factores de identificación de diferentes categorías, ya sea conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) o inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación;

52) “libro mayor electrónico”, secuencia de registros electrónicos de datos que garantiza la integridad de dichos registros y la exactitud de su orden cronológico;

53) “libro mayor electrónico cualificado”, libro mayor electrónico proporcionado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 terdecies;

54) “datos personales”, toda información en el sentido del artículo 4, punto 1, del Reglamento (UE) 2016/679;

55) “correspondencia de la identidad”, proceso por el cual se establece una correspondencia o vínculo entre los datos o medios de identificación electrónica y una cuenta existente perteneciente a esa misma persona;

56) “registro de datos”, datos electrónicos registrados con metadatos relacionados que respaldan el tratamiento de los datos;

57) “modo fuera de línea”, en lo que respecta al uso de las carteras europeas de identidad digital, interacción entre un usuario y un tercero que tiene lugar en una ubicación física utilizando tecnologías de proximidad inmediata, sin necesidad de que la cartera europea de identidad digital acceda a sistemas a distancia a través de redes de comunicaciones electrónicas a efectos de la interacción.».

4) El artículo 5 se sustituye por el texto siguiente:

«Artículo 5. Seudónimos en transacciones electrónicas

Sin perjuicio de las normas específicas del Derecho de la Unión o nacional que exijan a los usuarios identificarse o de los efectos jurídicos que el Derecho nacional contemple para los seudónimos, no se prohibirá la utilización de seudónimos escogidos por los usuarios.».

5) En el capítulo II, se inserta la sección siguiente:

«SECCIÓN 1. CARTERA EUROPEA DE IDENTIDAD DIGITAL

Artículo 5 bis. Carteras europeas de identidad digital

1.   A los efectos de garantizar que todas las personas físicas y jurídicas dispongan de un acceso transfronterizo seguro, de confianza y sin incidencias a servicios públicos y privados en la Unión, manteniendo al mismo tiempo el pleno control sobre sus datos, cada Estado miembro proporcionará al menos una cartera europea de identidad digital en los veinticuatro meses siguientes a la entrada en vigor de los actos de ejecución a que se refieren el apartado 23 del presente artículo y el artículo 5 quater, apartado 6.

2.   Las carteras europeas de identidad digital se proporcionarán de una o varias de las maneras siguientes:

a) directamente por un Estado miembro;

b) con arreglo a un mandato de un Estado miembro;

c) de manera independiente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

3.   El código fuente de los componentes de programas informáticos de las carteras europeas de identidad digital tendrá licencia de código abierto. Los Estados miembros podrán disponer que, por razones debidamente justificadas, no se divulgue el código fuente de componentes específicos distintos de los instalados en los dispositivos de los usuarios.

4.   Las carteras europeas de identidad digital permitirán al usuario, de manera intuitiva, transparente y rastreable por el usuario:

a) solicitar, obtener, seleccionar, combinar, almacenar, eliminar, compartir y presentar de forma segura, bajo el control exclusivo del usuario, datos de identificación de la persona y, cuando proceda, en combinación con declaraciones electrónicas de atributos, autenticarse ante partes usuarias en línea y, en su caso, en modo fuera de línea, con el fin de acceder a servicios públicos y privados, velando al mismo tiempo por que sea posible divulgar los datos selectivamente;

b) generar seudónimos y almacenarlos cifrados y localmente en la cartera europea de identidad digital;

c) autenticar de forma segura la cartera europea de identidad digital de otra persona, así como recibir y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura entre las dos carteras europeas de identidad digital;

d) acceder a un registro de todas las transacciones realizadas a través de la cartera europea de identidad digital mediante un panel común que permita al usuario:

i) ver una lista actualizada de las partes usuarias con las que ha establecido una conexión y, en su caso, todos los datos intercambiados,

ii) solicitar fácilmente a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

iii) notificar fácilmente una parte usuaria a la autoridad nacional de protección de datos en los casos en los que se reciba una solicitud de datos presuntamente ilícita o sospechosa;

e) firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

f) descargar, en la medida en que sea técnicamente viable, los datos, la declaración electrónica de atributos y las configuraciones del usuario;

g) ejercer los derechos del usuario a la portabilidad de los datos.

5.   En particular, las carteras europeas de identidad digital:

a) admitirán protocolos e interfaces comunes:

i) para expedir datos de identificación de la persona, declaraciones electrónicas cualificadas y no cualificadas de atributos o certificados cualificados y no cualificados para la cartera europea de identidad digital,

ii)para que las partes usuarias soliciten y validen datos de identificación de la persona y declaraciones electrónicas de atributos,

iii) para compartir con las partes usuarias, y presentarles, datos de identificación de la persona, una declaración electrónica de atributos o datos conexos divulgados selectivamente, en línea y, cuando proceda, en modo fuera de línea,

iv) para que el usuario permita la interacción con la cartera europea de identidad digital y muestre una etiqueta de confianza de la UE para la cartera de identidad digital,

v) para incorporar al usuario de manera segura utilizando un medio de identificación electrónica de conformidad con el artículo 5 bis, apartado 24,

vi) para permitir la interacción entre las carteras europeas de identidad digital de dos personas a fin de recibir, validar y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura,

vii) para autenticar e identificar a partes usuarias aplicando mecanismos de autenticación de conformidad con el artículo 5 ter,

viii) para que las partes usuarias verifiquen la autenticidad y la validez de las carteras europeas de identidad digital,

ix) para solicitar a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

x) para denunciar a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud de datos presuntamente ilícita o sospechosa,

xi) para crear firmas electrónicas o sellos electrónicos cualificados mediante dispositivos cualificados de creación de firma electrónica o sello electrónico;

b) no facilitarán información alguna a los prestadores de servicios de confianza de declaraciones electrónicas de atributos sobre el uso de dichas declaraciones electrónicas;

c) garantizarán que la identidad de las partes usuarias pueda autenticarse e identificarse mediante la aplicación de mecanismos de autenticación de conformidad con el artículo 5 ter;

d) cumplirán los requisitos establecidos en el artículo 8 en lo referente al nivel de seguridad alto, en particular en lo que sea aplicable a los requisitos de acreditación y verificación de la identidad, así como a la gestión y autenticación de medios de identificación electrónica;

e) en el caso de las declaraciones electrónicas de atributos con políticas de divulgación incorporadas, aplicarán el mecanismo adecuado para informar al usuario de que la parte usuaria o el usuario de la cartera europea de identidad digital solicitante de la declaración electrónica de atributos tiene permiso para acceder a dicha declaración;

f) garantizarán que los datos de identificación personal disponibles a través del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital correspondan de forma única, a la persona física, la persona jurídica o la persona física que representa a la persona física o jurídica y estén asociados con esa cartera europea de identidad digital;

g)  ofrecerán a todas las personas físicas la posibilidad de firmar, por defecto y de forma gratuita, mediante firmas electrónicas cualificadas.

No obstante lo dispuesto en el párrafo primero, letra g), los Estados miembros podrán establecer medidas proporcionadas para garantizar que el uso gratuito de las firmas electrónicas cualificadas por parte de las personas físicas se limite a fines no profesionales.

6.   Los Estados miembros informarán a los usuarios, sin demora, de toda violación de la seguridad que pueda haber comprometido total o parcialmente sus carteras europeas de identidad digital o su contenido, en particular si sus carteras europeas de identidad digital han sido suspendidas o revocadas en virtud del artículo 5 sexies;

7.   Sin perjuicio de lo dispuesto en el artículo 5 septies, los Estados miembros podrán contemplar, de conformidad con el Derecho nacional, funcionalidades adicionales de las carteras europeas de identidad digital, como la interoperabilidad con los medios nacionales de identificación electrónica existentes. Dichas funcionalidades adicionales cumplirán lo dispuesto en el presente artículo.

8.   Los Estados miembros proporcionarán mecanismos de validación gratuitos a fin de:

a) garantizar que se pueda verificar la autenticidad y validez de las carteras europeas de identidad digital;

b) permitir que los usuarios verifiquen la autenticidad y validez de la identidad de las partes usuarias registradas de conformidad con el artículo 5 ter.

9.   Los Estados miembros velarán por que la validez de la cartera europea de identidad digital pueda revocarse en las siguientes circunstancias:

a) a petición expresa del usuario;

b) cuando la seguridad de la cartera europea de identidad digital se haya visto comprometida;

c) en caso de fallecimiento del usuario o cese de actividad de la persona jurídica.

10.   Los proveedores de carteras europeas de identidad digital garantizarán que los usuarios puedan solicitar fácilmente apoyo técnico y notificar problemas técnicos o cualquier otro incidente que afecte negativamente al uso de las carteras europeas de identidad digital.

11.   Las carteras europeas de identidad digital se proporcionarán en el marco de un sistema de identificación electrónica con nivel de seguridad alto.

12.   Las carteras europeas de identidad digital respetarán el principio de seguridad desde el diseño.

13.   La expedición, el uso y la revocación de las carteras europeas de identidad digital serán gratuitos para todas las personas físicas.

14.   Los usuarios tendrán pleno control sobre el uso de su cartera europea de identidad digital y sobre los datos que consten en ella. El proveedor de la cartera europea de identidad digital no recopilará información sobre el uso de la cartera europea de identidad digital que no sea necesaria para la prestación de los servicios de esta, ni combinará datos de identificación de la persona u otros datos personales almacenados o relativos al uso de la cartera europea de identidad digital con datos personales obtenidos a través de otros servicios ofrecidos por dicho proveedor o a través de servicios de terceros que no sean necesarios para la prestación de los servicios de la cartera europea de identidad digital, a menos que el usuario haya solicitado expresamente lo contrario. Se establecerá una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de las carteras europeas de identidad digital. Si la cartera europea de identidad digital ha sido proporcionada por entidades privadas de conformidad con lo dispuesto en el apartado 2, letras b) y c), se aplicarán mutatis mutandis las disposiciones del artículo 45 nonies, apartado 3.

15.   La utilización de las carteras europeas de identidad digital será voluntaria. El acceso a los servicios públicos y privados, el acceso al mercado laboral y la libertad de empresa no se restringirán de ninguna manera ni perjudicarán a las personas físicas o jurídicas que no utilicen las carteras europeas de identidad digital. Seguirá siendo posible acceder a los servicios públicos y privados mediante los otros medios de identificación y autenticación existentes.

16.   El marco técnico de la cartera europea de identidad digital:

a) no permitirá que, tras la expedición de la declaración de atributos, los prestadores de declaraciones electrónicas de atributos o cualquier otra parte obtengan datos que permitan que se rastree, vincule o correlacione, u obtener de cualquier otra manera, conocimiento de las transacciones o del comportamiento del usuario a menos que este lo autorice explícitamente;

b) permitirá tecnologías de protección de la privacidad que garanticen la no vinculación, cuando la declaración de atributos no requiera la identificación del usuario.

17.   Todo tratamiento de datos personales realizado por los Estados miembros o en su nombre por organismos o partes responsables de la provisión de carteras europeas de identidad digital como medio de identificación electrónica se llevará a cabo de conformidad con medidas adecuadas y efectivas de protección de datos. Se demostrará que dicho tratamiento cumple el Reglamento (UE) 2016/679. Los Estados miembros podrán introducir disposiciones nacionales para especificar en más detalle la aplicación de dichas medidas.

18.   Sin dilación indebida, los Estados miembros comunicarán a la Comisión información sobre:

a) el organismo responsable de establecer y mantener la lista de partes usuarias registradas que utilizan las carteras europeas de identidad digital de conformidad con el artículo 5 ter, apartado 5, y la localización de dicha lista;

b) los organismos responsables de la provisión de carteras europeas de identidad digital de conformidad con el artículo 5 bis, apartado 1;

c) los organismos responsables de garantizar que los datos de identificación de la persona estén asociados a la cartera europea de identidad digital de conformidad con el artículo 5 bis, apartado 5, letra f);

d) el mecanismo que permite validar los datos de identificación de la persona a que se refiere el artículo 5 bis, apartado 5, letra f), y la identidad de las partes usuarias;

e) el mecanismo para validar la autenticidad y la validez de las carteras europeas de identidad digital.

La Comisión pondrá a disposición del público la información notificada en virtud del párrafo primero, a través de un canal seguro, la información a que se refiere el presente apartado en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

19.   Sin perjuicio del apartado 22 del presente artículo, el artículo 11 se aplicará mutatis mutandis a la cartera europea de identidad digital.

20.   El artículo 24, apartado 2, letras b) y d) a h), se aplicará mutatis mutandis a los proveedores de carteras europeas de identidad digital.

21.   Se garantizará la accesibilidad de las carteras europeas de identidad digital para las personas con discapacidad, en igualdad de condiciones que el resto de los usuarios, conforme a los requisitos de accesibilidad previstos en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (*2).

22.   A efectos de la provisión de las carteras europeas de identidad digital, ni estas ni los sistemas de identificación electrónica con arreglo a los cuales se proporcionan estarán sujetos a los requisitos establecidos en los artículos 7, 9, 10, 12 y 12 bis.

23.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los requisitos a que se refieren los apartados 4, 5, 8 y 18 del presente artículo sobre la implantación de las carteras europeas de identidad digital. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

24.   La Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, cuando proceda, especificaciones y procedimientos, con el fin de facilitar la incorporación de los usuarios a la cartera europea de identidad digital utilizando bien medios de identificación electrónica conformes con el nivel de seguridad alto, bien medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia, de modo que, en conjunto, cumplan los requisitos del nivel de seguridad alto. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 ter. Partes usuarias de las carteras europeas de identidad digital

1.   Cuando una parte usuaria tenga previsto utilizar carteras europeas de identidad digital para prestar servicios públicos o privados mediante una interacción digital, se registrará en el Estado miembro en el que esté establecida.

2.   El proceso de registro tendrá un coste razonable y proporcional al riesgo. La parte usuaria proporcionará, como mínimo:

a) la información necesaria para autenticarse en las carteras europeas de identidad digital, lo que como mínimo incluye:

i) el Estado miembro en el que la parte usuaria tiene su sede, y

ii) el nombre de la parte usuaria y, en su caso, su número de registro tal como figura en un registro oficial, junto con los datos de identificación de dicho registro oficial;

b) los datos de contacto de la parte usuaria;

c) el uso previsto de las carteras europeas de identidad digital, incluida una mención de los datos que la parte usuaria solicitará a los usuarios.

3.   Las partes usuarias no solicitarán a los usuarios datos distintos de los mencionados en virtud del apartado 2, letra c).

4.   Los apartados 1 y 2 se entenderán sin perjuicio del Derecho de la Unión o nacional aplicable a la prestación de servicios específicos.

5.   Los Estados miembros publicarán la información a que se refiere el apartado 2 en línea en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

6.   Las partes usuarias registradas de conformidad con el presente artículo informarán sin demora a los Estados miembros sobre cualquier cambio en la información facilitada en el registro en virtud del apartado 2.

7.   Los Estados miembros facilitarán un mecanismo común para permitir la identificación y autenticación de las partes usuarias, tal como prevé el artículo 5 bis, apartado 5, letra c).

8.   Cuando las partes usuarias tengan previsto utilizar carteras europeas de identidad digital, se identificarán respecto al usuario.

9.   Las partes usuarias serán responsables de llevar a cabo el procedimiento de autenticación y validación de los datos de identificación personal y de las declaraciones electrónicas de atributos solicitados por las carteras europeas de identidad digital. Las partes usuarias no rechazarán el uso de seudónimos, cuando el Derecho de la Unión o nacional no exija la identificación del usuario.

10.   Los intermediarios que actúen en nombre de las partes usuarias se considerarán partes usuarias y no almacenarán datos sobre el contenido de la transacción.

11.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá especificaciones técnicas y procedimientos para los requisitos mencionados en los apartados 2, 5 y 6 a 9 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 quater. Certificación de las carteras europeas de identidad digital

1.   La conformidad de las carteras europeas de identidad digital y el sistema de identificación electrónica con arreglo al cual se proporcionan los requisitos establecidos en el artículo 5 bis, apartados 4, 5 y 8, el requisito de separación lógica establecido en el artículo 5 bis, apartado 14, y, cuando proceda, con las normas y especificaciones técnicas previstas en el artículo 5 bis, apartado 24, será certificada por organismos de evaluación de la conformidad designados por los Estados miembros.

2.   La certificación de conformidad de las carteras europeas de identidad digital con los requisitos pertinentes de ciberseguridad previstos en el apartado 1 del presente artículo, o partes de ellos, que sean pertinentes para la ciberseguridad, será realizada de conformidad con los esquemas de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (*3) e indicados en los actos de ejecución mencionados en el apartado 6 del presente artículo.

3.   Para los requisitos a que se refiere el apartado 1 del presente artículo que no sean pertinentes para la ciberseguridad y para los requisitos a que se refiere el apartado 1 del presente artículo que sean pertinentes para la ciberseguridad, en la medida en que los esquemas de certificación de la ciberseguridad a que se refiere el apartado 2 del presente artículo no incluyan los requisitos de ciberseguridad pertinentes, o solo lo hagan parcialmente, los Estados miembros establecerán también para dichos requisitos esquemas nacionales de certificación con arreglo a los requisitos establecidos en los actos de ejecución a los que se refiere el apartado 6 del presente artículo. Los Estados miembros transmitirán sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea establecido en virtud del artículo 46 sexies, apartado 1, (en lo sucesivo, “Grupo de Cooperación”). El Grupo de Cooperación podrá emitir dictámenes y recomendaciones.

4.   La certificación en virtud del apartado 1 tendrá una validez máxima de cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane oportunamente, se cancelará la certificación.

5.   El cumplimiento de los requisitos establecidos en el artículo 5 bis del presente Reglamento para las operaciones de tratamiento de datos personales podrá ser certificado con arreglo al Reglamento (UE) 2016/679.

6.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la certificación de las carteras europeas de identidad digital a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

7.   Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

8.   La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 47 por los que se establezcan los criterios específicos que deben satisfacer los organismos de evaluación de la conformidad designados a que se refiere el apartado 1 del presente artículo.

Artículo 5 quinquies. Publicación de una lista de carteras europeas de identidad digital certificadas

1.   Los Estados miembros informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida, de las carteras europeas de identidad digital que se hayan proporcionado de conformidad con el artículo 5 bis y que hayan sido certificadas por los organismos de evaluación de la conformidad a que se refiere el artículo 5 quater, apartado 1. Informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida cuando se cancele alguna certificación y expondrán los motivos de la cancelación.

2.   Sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 18, la información facilitada por los Estados miembros mencionada en el apartado 1 del presente artículo incluirá, como mínimo:

a) el certificado y el informe de evaluación de la certificación de la cartera europea de identidad digital certificada;

b) una descripción del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital;

c) el régimen de supervisión aplicable y la información sobre el régimen de responsabilidades respecto de la parte que proporciona la cartera europea de identidad digital;

d) la autoridad o autoridades responsables del sistema de identificación electrónica;

e) disposiciones relativas a la suspensión o revocación del sistema de identificación electrónica de la autenticación o de las partes afectadas.

3.   A tenor de la información recibida en virtud del apartado 1, la Comisión establecerá, publicará en el Diario Oficial de la Unión Europea y mantendrá en un formato legible por máquina una lista de carteras europeas de identidad digital certificadas.

4.   Todo Estado miembro podrá presentar a la Comisión una solicitud de suprimir de la lista a la que se refiere el apartado 3 una cartera europea de identidad digital y el sistema de identificación electrónica en virtud del cual se proporciona.

5.   Cuando se produzcan cambios en la información facilitada en virtud del apartado 1, el Estado miembro facilitará a la Comisión información actualizada.

6.   La Comisión mantendrá actualizada la lista a que se refiere el apartado 3 mediante la publicación en el Diario Oficial de la Unión Europea de las modificaciones correspondientes de la lista en el plazo de un mes a partir de la recepción de una solicitud con arreglo al apartado 4 o de información actualizada con arreglo al apartado 5.

7.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá los formatos y procedimientos aplicables a efectos de los apartados 1, 4 y 5 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 sexies. Violación de la seguridad de las carteras europeas de identidad digital

1.   Cuando se viole o quede parcialmente comprometida la seguridad de las carteras europeas de identidad digital proporcionadas en virtud del artículo 5 bis, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, o del sistema de identificación electrónica en virtud del cual se proporcionan las carteras europeas de identidad digital de un modo que afecte a su fiabilidad o a la de otras carteras europeas de identidad digital, el Estado miembro que haya proporcionado las carteras europeas de identidad digital suspenderá, sin dilación indebida, la provisión y el uso de dichas carteras.

Cuando la gravedad de la violación o el compromiso de seguridad a que se refiere párrafo primero lo justifique, el Estado miembro retirará sin dilación indebida las carteras europeas de identidad digital.

El Estado miembro informará de ello a los usuarios afectados, a los puntos de contacto únicos designados con arreglo al artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

2.   Si la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo no se subsana en un plazo de tres meses desde la suspensión, el Estado miembro que haya proporcionado las carteras europeas de identidad digital las retirará y revocará su validez. El Estado miembro informará, en consecuencia, de la retirada a los usuarios afectados, a los puntos de contacto únicos designados en virtud del artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

3.   Cuando se haya subsanado la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo, el Estado miembro proveedor restablecerá la provisión y el uso de las carteras europeas de identidad digital e informará sin dilación indebida a los usuarios y partes usuarias afectados, a los puntos únicos de contacto designados en virtud del artículo 46 quater, apartado 1, y a la Comisión.

4.   La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 5 quinquies, sin dilación indebida.

5.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a las medidas a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 septies. Uso transfronterizo de las carteras europeas de identidad digital

1.   Cuando los Estados miembros exijan una identificación y una autenticación electrónicas para acceder a un servicio en línea prestado por un organismo del sector público, también aceptarán las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

2.   Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (*4)— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

3.   Cuando los prestadores de plataformas en línea de muy gran tamaño a que se refiere el artículo 33 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (*5) exijan la autenticación del usuario para acceder a servicios en línea, también aceptarán y facilitarán el uso de las carteras europeas de identidad digital proporcionadas con arreglo al presente Reglamento para la autenticación del usuario, únicamente a petición voluntaria del usuario y en lo que respecta a los datos mínimos necesarios para el servicio en línea específico para el que se solicita la autenticación.

4.   En cooperación con los Estados miembros, la Comisión facilitará la elaboración de códigos de conducta en estrecha colaboración con todas las partes interesadas pertinentes, en particular la sociedad civil, para contribuir a la amplia disponibilidad y la facilidad de uso de las carteras europeas de identidad digital contempladas en el ámbito de aplicación del presente Reglamento y alentar a los prestadores de servicios a ultimar la elaboración de códigos de conducta.

5.   En un plazo de veinticuatro meses a partir de la implantación de las carteras europeas de identidad digital, la Comisión evaluará la demanda, disponibilidad y facilidad de uso de las carteras europeas de identidad digital, teniendo en cuenta criterios como la adopción por los usuarios, la presencia transfronteriza de prestadores de servicios, el desarrollo tecnológico, la evolución de los patrones de uso y la demanda de los usuarios.

6) Antes del artículo 6 se inserta el título siguiente:

«SECCIÓN 2. SISTEMAS DE IDENTIFICACIÓN ELECTRÓNICA».

7) En el artículo 7, la letra g) se sustituye por el texto siguiente:

«g) al menos seis meses antes de la notificación a la que se refiere el artículo 9, apartado 1, el Estado miembro que efectúa la notificación presentará a los demás Estados miembros, a efectos del artículo 12, apartado 5, una descripción de este sistema, de conformidad con las modalidades de procedimiento establecidas en los actos de ejecución adoptados en virtud del artículo 12, apartado 6;».

8) En el artículo 8, apartado 3, el párrafo primero se sustituye por el texto siguiente:

«3.   A más tardar el 18 de septiembre de 2015, teniendo en cuenta las normas internacionales pertinentes, y en los términos del apartado 2, la Comisión establecerá, mediante actos de ejecución, las especificaciones técnicas mínimas, las normas y los procedimientos con referencia a los cuales se especificarán los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica.».

9) En el artículo 9, los apartados 2 y 3 se sustituyen por el texto siguiente:

«2.   La Comisión publicará en el Diario Oficial de la Unión Europea, sin dilación indebida, la lista de los sistemas de identificación electrónica notificados de conformidad con el apartado 1 junto con información básica sobre dichos sistemas.

3.   La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones de la lista a que se hace referencia en el apartado 2 en el plazo de un mes desde la fecha en que se reciba la citada notificación.».

10) El título del artículo 10 se sustituye por el texto siguiente:

«Violación de la seguridad de los sistemas de identificación electrónica».

11) Se inserta el artículo siguiente:

«Artículo 11 bis. Correspondencia transfronteriza de la identidad

1.   Cuando actúen como partes usuarias de servicios transfronterizos, los Estados miembros garantizarán una correspondencia inequívoca de la identidad para las personas físicas que utilicen medios de identificación electrónica notificados o carteras europeas de identidad digital.

2.   Los Estados miembros establecerán medidas técnicas y organizativas para garantizar un elevado nivel de protección de los datos personales utilizados para la correspondencia de la identidad y para evitar la elaboración de perfiles de usuarios.

3.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a los requisitos a que se refiere el apartado 1 del presente artículo por medio de actos de ejecución. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

12) El artículo 12 se modifica como sigue:

a) El título se sustituye por el texto siguiente:

«Interoperabilidad»;

b) el apartado 3 se modifica como sigue:

i) la letra c) se sustituye por el texto siguiente:

«c) facilitarla aplicación de la privacidad y la seguridad desde el diseño.»,

ii) se suprime la letra d);

c) en el apartado 4, la letra d) se sustituye por el texto siguiente:

«d) una referencia a un conjunto mínimo de datos de identificación de la persona necesarios para representar de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica y que está disponible en los sistemas de identificación electrónica;»;

d) los apartados 5 y 6 se sustituyen por el texto siguiente:

«5.   Los Estados miembros llevarán a cabo revisiones inter pares de los sistemas de identificación electrónica incluidos en el ámbito de aplicación del presente Reglamento y que habrán de notificarse en virtud del artículo 9, apartado 1, letra a).

6.   A más tardar el 18 de marzo de 2025, la Comisión fijará, mediante actos de ejecución, las modalidades de procedimiento necesarias para las revisiones inter pares mencionadas en el apartado 5 del presente artículo, con vistas a fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

e) se suprime el apartado 7;

f) el apartado 8 se sustituye por el texto siguiente:

«8.   A más tardar el 18 de septiembre de 2025, a efectos de establecer condiciones uniformes para la ejecución de los requisitos del apartado 1 del presente artículo, la Comisión, sin perjuicio de los criterios establecidos en el apartado 3 del presente artículo y teniendo en cuenta los resultados de la cooperación entre Estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad tal como se establece en el apartado 4 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

13) En el capítulo II se insertan los artículos siguientes:

«Artículo 12 bis. Certificación de los sistemas de identificación electrónica

1.   La certificación de la conformidad de los sistemas de identificación electrónica que vayan a notificarse con los requisitos de ciberseguridad establecidos en el presente Reglamento, incluida la conformidad con los requisitos pertinentes en materia de ciberseguridad establecidos en el artículo 8, apartado 2, en relación con los niveles de seguridad de los sistemas de identificación electrónica, correrá a cargo de organismos de evaluación de la conformidad designados por los Estados miembros.

2.   La certificación en virtud del apartado 1 del presente artículo se realizará con arreglo a un esquema de certificación de la ciberseguridad en virtud del Reglamento (UE) 2019/881 o partes de dicho esquema, en la medida en que el certificado de ciberseguridad o partes de este abarquen dichos requisitos de ciberseguridad.

3.   La certificación en virtud del apartado 1 tendrá una validez de hasta cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane en un plazo de tres meses desde dicha detección, se cancelará la certificación.

4.   No obstante lo dispuesto en el apartado 2, los Estados miembros podrán solicitar, de conformidad con dicho apartado, información adicional al Estado miembro que efectúa la notificación sobre los sistemas de identificación electrónica, o parte de ellos, certificados.

5.   La revisión inter pares de los sistemas de identificación electrónica a que se refiere el artículo 12, apartado 5, no se aplicará a sistemas de identificación electrónica, ni a partes de ellos, certificados de conformidad con el apartado 1 del presente artículo. Los Estados miembros podrán utilizar un certificado o una declaración de conformidad, expedida con arreglo a un esquema de certificación pertinente o partes de dichos esquemas, con los requisitos que no estén relacionados con la ciberseguridad establecidos en el artículo 8, apartado 2, en relación con el nivel de seguridad de los sistemas de identificación electrónica.

6.   Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

Artículo 12 ter. Acceso a características de equipo y programa informático

Cuando los proveedores de carteras europeas de identidad digital y los emisores de los medios de identificación electrónica notificados que actúen a título comercial o profesional y utilicen servicios básicos de plataforma según se definen en el artículo 2, punto 2, del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (*6), con el fin de ofrecer servicios de cartera europea de identidad digital y medios de identificación electrónica a usuarios finales, o en el marco de tal prestación, sean usuarios profesionales según se define en el artículo 2, apartado 21, de dicho Reglamento, los guardianes de acceso les permitirán, en particular, la interoperabilidad efectiva con las mismas características de sistema operativo, de equipo y o programa informático, así como el acceso a dichas características a efectos de interoperabilidad. La interoperabilidad efectiva y el acceso se permitirán de forma gratuita y con independencia de que las características de equipo y programa informático formen parte del sistema operativo, a las que puede acceder o que utiliza el guardián de acceso cuando presta tales servicios, en el sentido del artículo 6, apartado 7, del Reglamento (UE) 2022/1925. El presente artículo se entenderá sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 14, del presente Reglamento.

14) En el artículo 13, el apartado 1 se sustituye por el texto siguiente:

«1.   No obstante lo dispuesto en el apartado 2 del presente artículo y sin perjuicio del Reglamento (UE) 2016/679, los prestadores de servicios de confianza serán responsables de los perjuicios causados de forma intencional o por negligencia a cualquier persona física o jurídica debido al incumplimiento de las obligaciones establecidas en el presente Reglamento. Toda persona física o jurídica que haya sufrido perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento por parte de un prestador de servicios de confianza tendrá derecho a solicitar una indemnización de conformidad con el Derecho de la Unión y nacional.

La carga de la prueba de la intencionalidad o la negligencia de un prestador no cualificado de servicios de confianza corresponderá a la persona física o jurídica que alegue los perjuicios a que se refiere el párrafo primero.

Se presumirá la intencionalidad o la negligencia de un prestador cualificado de servicios de confianza salvo cuando ese prestador cualificado de servicios de confianza demuestre que los perjuicios a que se refiere el párrafo primero se produjeron sin intencionalidad ni negligencia por su parte.».

15) Los artículos 14, 15 y 16 se sustituyen por el texto siguiente:

«Artículo 14. Aspectos internacionales

1.   Los servicios de confianza prestados por prestadores de servicios de confianza establecidos en un tercer país o por una organización internacional serán reconocidos como legalmente equivalentes a los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión si los servicios de confianza originarios del tercer país o los de la organización internacional son reconocidos mediante actos de ejecución o un acuerdo celebrado entre la Unión y el tercer país o la organización internacional en virtud del artículo 218 del TFUE.

Los actos de ejecución a que se refiere el párrafo primero se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

2.   Los actos de ejecución y los acuerdos a que se refiere el apartado 1 garantizarán que los prestadores de servicios de confianza del tercer país de que se trate o las organizaciones internacionales y los servicios de confianza que prestan cumplen los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en la Unión y a los servicios de confianza cualificados que prestan. En particular, los terceros países y las organizaciones internacionales establecerán, mantendrán y publicarán una lista de confianza de los prestadores reconocidos de servicios de confianza.

3.   Los acuerdos a que se refiere el apartado 1 garantizarán que los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión sean reconocidos como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios en el tercer país o por la organización internacional con los que se celebra el acuerdo.

Artículo 15. Accesibilidad para las personas con discapacidad y necesidades especiales

La provisión de medios de identificación electrónica, así como la prestación de servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, deberán estar disponibles en un lenguaje claro y comprensible, de conformidad con la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad y con los requisitos de accesibilidad de la Directiva (UE) 2019/882, beneficiando así también a las personas que experimentan limitaciones funcionales, como las personas de edad avanzada y las personas con un acceso limitado a las tecnologías digitales.

Artículo 16. Sanciones

1.   Sin perjuicio de lo dispuesto en el artículo 31 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (*7), los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones del presente Reglamento. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

2.   Los Estados miembros garantizarán que el incumplimiento del presente Reglamento por parte de prestadores cualificados y no cualificados de servicios de confianza se sancione con multas administrativas de un máximo de, al menos:

a) 5 000 000 EUR cuando el prestador de servicios de confianza sea una persona física, o

b) 5 000 000 EUR o una cuantía equivalente al 1 % del volumen de negocios anual total a nivel mundial de la empresa a la que perteneciera el prestador de servicios de confianza durante el ejercicio financiero anterior al año en que se haya producido el incumplimiento, optándose por la de mayor cuantía, cuando el prestador de servicios de confianza sea una persona jurídica.

3.   En función del ordenamiento jurídico de los Estados miembros, las normas relativas a las multas administrativas podrán aplicarse de tal modo que la incoación de la multa corresponda al organismo de supervisión competente, y su imposición a los órganos jurisdiccionales nacionales competentes. La aplicación de tales normas en estos Estados miembros garantizará que estas vías de recurso sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas directamente por las autoridades de control.

16) En el capítulo III, sección 2, el título se sustituye por el texto siguiente:

«Servicios de confianza no cualificados».

17) Se suprimen los artículos 17 y 18.

18) En el capítulo III, sección 2, se inserta el artículo siguiente:

«Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza

1.   Los prestadores no cualificados de servicios de confianza que prestan servicios de confianza no cualificados:

a) contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza no cualificado que, no obstante lo dispuesto en el artículo 21de la Directiva (UE) 2022/2555, deberá incluir, como mínimo, las medidas relacionadas con:

i) procedimientos de registro para un servicio de confianza e incorporación a este,

ii) controles administrativos o de procedimiento necesarios para prestar servicios de confianza,

iii) gestión e implantación de servicios de confianza;

b) notificarán al organismo de supervisión, a las personas afectadas identificables, al público si es de interés público y, cuando proceda, a otras autoridades competentes pertinentes cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra a), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar a las veinticuatro horas de haber tenido conocimiento de cualquier violación de la seguridad o interrupción.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para el apartado 1, letra a), del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando se observen dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

19) El artículo 20 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   Los prestadores cualificados de servicios de confianza serán auditados al menos cada veinticuatro meses, corriendo con los gastos que ello genere, por un organismo de evaluación de la conformidad. La auditoría confirmará que tanto los prestadores cualificados de servicios de confianza como los servicios de confianza cualificados que prestan cumplen los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555. Los prestadores cualificados de servicios de confianza enviarán el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.»;

b) Se insertan los apartados siguientes:

«1 bis.   Los prestadores cualificados de servicios de confianza informarán al organismo de supervisión al menos un mes antes de cualquier auditoría prevista y permitirán la participación del organismo de supervisión en calidad de observador.

1 ter.   Los Estados miembros notificarán a la Comisión, sin dilación indebida, los nombres, direcciones y datos de acreditación de los organismos de evaluación de la conformidad a que se refiere el apartado 1, así como cualquier modificación posterior de los mismos. La Comisión pondrá dicha información a disposición de todos los Estados miembros.»;

c) los apartados 2, 3 y 4 se sustituyen por el texto siguiente:

«2.   Sin perjuicio de lo dispuesto en el apartado 1, el organismo de supervisión podrá en cualquier momento auditar o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, con cargo a dichos prestadores cualificados de servicios de confianza, para confirmar que estos y los servicios de confianza cualificados prestados cumplen los requisitos establecidos en el presente Reglamento. En caso de posible vulneración de las normas sobre protección de datos personales, el organismo de supervisión informará, sin dilación indebida, a las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679.

3.   Cuando el prestador cualificado de servicios de confianza incumpla cualquiera de los requisitos que se establecen en el presente Reglamento, el organismo de supervisión le exigirá subsanar dicho incumplimiento dentro de un plazo determinado, si procede.

Si el prestador no subsanase el incumplimiento, en su caso, dentro del plazo fijado por el organismo de supervisión, este, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 bis.   Cuando las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en el artículo 21 de dicha Directiva, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 ter.   Cuando las autoridades de control establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en dicho Reglamento, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 quater.   El organismo de supervisión comunicará al prestador cualificado de servicios de confianza la retirada de su cualificación o de la cualificación del servicio de que se trate. El organismo de supervisión informará al organismo notificado con arreglo al artículo 22, apartado 3, del presente Reglamento a efectos de actualizar las listas de confianza a que se refiere el apartado 1 de dicho artículo y a la autoridad competente designada o establecida en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555.

4.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, especificaciones y procedimientos para lo siguiente:

a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;

b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;

c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.

Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

20) El artículo 21 se modifica como sigue:

a) los apartados 1 y 2 se sustituyen por el texto siguiente:

«1.   Cuando los prestadores de servicios de confianza tengan intención de iniciar la prestación de un servicio de confianza cualificado, notificarán al organismo de supervisión su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme el cumplimiento de los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555.

2.   El organismo de supervisión verificará si el prestador de servicios de confianza y los servicios de confianza que presta cumplen los requisitos establecidos en el presente Reglamento, y en particular, los requisitos aplicables a los prestadores cualificados de servicios de confianza y a los servicios de confianza cualificados que estos prestan.

Con el fin de verificar que el prestador de servicios de confianza cumple los requisitos establecidos en el artículo 21 de la Directiva (UE) 2022/2555, el organismo de supervisión solicitará a las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de dicha Directiva que emprendan acciones de supervisión en ese sentido y que proporcionen información sobre los resultados de dichas acciones sin dilación indebida y en cualquier caso en el plazo de dos meses desde la recepción de dicha solicitud. Si la verificación no ha concluido en el plazo de dos meses desde la notificación, dichas autoridades competentes informarán al organismo de supervisión especificando los motivos de la dilación y el plazo previsto para concluir la verificación.

Si el organismo de supervisión concluye que el prestador de servicios de confianza y los servicios de confianza que este presta cumplen los requisitos establecidos en el presente Reglamento, el organismo de supervisión concederá la cualificación al prestador de servicios de confianza y a los servicios de confianza que este presta y lo comunicará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualizar las listas de confianza previstas en el artículo 22, apartado 1, a más tardar tres meses después de la notificación efectuada de conformidad con el apartado 1 del presente artículo.

Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

b) el apartado 4 se sustituye por el texto siguiente:

«4.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos de la notificación y la verificación a efectos de lo dispuesto en los apartados 1 y 2 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

21) El artículo 24 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1.   Al expedir un certificado cualificado o una declaración electrónica cualificada de atributos, el prestador cualificado de servicios de confianza verificará la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos.

1 bis.   La verificación de la identidad a que se refiere el apartado 1 se llevará a cabo por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o de una combinación de los mismos cuando sea necesario de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

a) a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a), c) o d);

c) utilizando otros métodos de identificación que garanticen la identificación de la persona con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

d) a través de la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.

1 ter.   La verificación de los atributos a que se refiere el apartado 1 se llevará a cabo, por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o, cuando sea necesario, de una combinación de estos, de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

a) a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con el apartado 1 bis, letra a), c) o d);

c) por medio de una declaración electrónica cualificada de atributos;

d) utilizando otros métodos que garanticen la verificación de los atributos con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

e) mediante la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.»;

«1 quater.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la verificación de la identidad y los atributos de conformidad con los apartados 1, 1 bis y 1 ter del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.»;

b) el apartado 2 se modifica como sigue:

i) la letra a) se sustituye por el texto siguiente:

«a) informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados al menos un mes antes de llevarlo a cabo, y con una antelación de al menos tres meses en caso de que tengan intención de cesar tales actividades;»;

ii) las letras d) y e) se sustituyen por el texto siguiente:

«d) antes de entrar en una relación contractual, informarán, de manera clara, comprensible y fácilmente accesible, en un espacio públicamente accesible y de forma individual, a cualquier persona que desee utilizar un servicio de confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;

e) utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustenten, en particular utilizando técnicas criptográficas adecuadas;»,

iii) se insertan los puntos siguientes:

«f bis) No obstante lo dispuesto en el artículo 21 de la Directiva (UE) 2022/2555, contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza cualificado, en particular al menos medidas relacionadas con lo siguiente:

i) procedimientos de registro en un servicio e incorporación a este,

ii) controles administrativos o de procedimiento,

iii) gestión e implantación de servicios;

f ter) notificarán al organismo de supervisión, a las personas afectadas identificables, a otros organismos competentes pertinentes cuando proceda y, a solicitud del organismo de supervisión, al público si es de interés público, cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra f bis), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar veinticuatro horas después de haberse producido el incidente;»,

iv) las letras g), h) e i) se sustituyen por el texto siguiente:

«g) adoptarán medidas adecuadas contra la falsificación, el robo o la apropiación indebida de datos o contra la eliminación, alteración o bloqueo de dichos datos sin tener derecho a ello;

h) registrarán y mantendrán accesible, durante el tiempo que sea necesario cuando hayan cesado las actividades del prestador cualificado de servicios de confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador cualificado de servicios de confianza, al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;

i) contarán con un plan de cese actualizado para garantizar la continuidad del servicio de conformidad con las disposiciones que sean verificadas por el organismo de supervisión en virtud del artículo 46 ter, apartado 4, letra i);»,

v) se suprime la letra j),

vi) se añade el párrafo siguiente:

«El organismo de supervisión podrá solicitar información adicional a la información notificada en virtud del párrafo primero, letra a), o el resultado de una evaluación de la conformidad y podrá condicionar la concesión de la autorización para aplicar los cambios previstos a los servicios de confianza cualificados. Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

c) el apartado 5 se sustituye por el texto siguiente:

«4 bis.   Los apartados 3 y 4 se aplicarán, en consecuencia, a la revocación de declaraciones electrónicas cualificadas de atributos.

4 ter.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 47 por el que se establecen las medidas adicionales mencionadas en el apartado 2, punto f bis) del presente artículo.

5.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables a los requisitos a que se refiere el apartado 2, del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente apartado cuando se observen dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

22)  En el capítulo III, sección 3, se añade el artículo siguiente:

«Artículo 24 bis. Reconocimiento de servicios de confianza cualificados

1.   Las firmas electrónicas cualificadas basadas en un certificado cualificado expedido en un Estado miembro y los sellos electrónicos cualificados basados en un certificado cualificado expedido en un Estado miembro serán reconocidos, respectivamente, como firmas electrónicas cualificadas y sellos electrónicos cualificados en todos los demás Estados miembros.

2.   Los dispositivos cualificados de creación de firma electrónica y los dispositivos cualificados de creación de sello electrónico certificados en un Estado miembro serán reconocidos, respectivamente, como dispositivos cualificados de creación de firma electrónica y dispositivos cualificados de creación de sello electrónico en todos los demás Estados miembros.

3.   Un certificado cualificado de firma electrónica, un certificado cualificado de sello electrónico, un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia proporcionados en un Estado miembro serán reconocidos, respectivamente, como certificado cualificado de firma electrónica, certificado cualificado de sello electrónico, servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia en todos los demás Estados miembros.

4.   Un servicio de validación cualificado de firmas electrónicas cualificadas y un servicio de validación cualificado de sellos electrónicos cualificados prestado en un Estado miembro serán reconocidos, respectivamente, como servicio de validación cualificado de firmas electrónicas cualificadas y servicio de validación cualificado de sellos electrónicos cualificados en todos los demás Estados miembros.

5.   Un servicio cualificado de conservación de firmas electrónicas cualificadas y un servicio cualificado de conservación de sellos electrónicos cualificados prestados en un Estado miembro serán reconocidos, respectivamente, como servicio cualificado de conservación de firmas electrónicas cualificadas y servicio cualificado de conservación de sellos electrónicos cualificados en todos los demás Estados miembros.

6.   Un sello cualificado de tiempo electrónico proporcionado en un Estado miembro será reconocido como sello cualificado de tiempo electrónico en todos los demás Estados miembros.

7.   Un certificado cualificado de autenticación de sitio web expedido en un Estado miembro será reconocido como certificado cualificado de autenticación de sitio web en cualquier otro Estado miembro.

8.   Un servicio cualificado de entrega electrónica certificada proporcionado en un Estado miembro será reconocido como servicio cualificado de entrega electrónica certificada en todos los demás Estados miembros.

9.   Una declaración electrónica cualificada de atributos expedida en un Estado miembro será reconocida como declaración electrónica cualificada de atributos en todos los demás Estados miembros.

10.   Un servicio cualificado de archivo electrónico prestado en un Estado miembro será reconocido como servicio cualificado de archivo electrónico en todos los demás Estados miembros.

11.   Un libro mayor electrónico cualificado proporcionado en un Estado miembro será reconocido como libro mayor electrónico cualificado en todos los demás Estados miembros.».

23) En el artículo 25, se suprime el apartado 3.

24) El artículo 26 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2.   A más tardar el 21 de mayo de 2026, la Comisión evaluará sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para firmas electrónicas avanzadas. Sobre la base de dicha evaluación, la Comisión puede adoptar tales actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a las firmas electrónicas avanzadas cuando la firma electrónica avanzada sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

25) En el artículo 27, se suprime el apartado 4.

26) En el artículo 28, el apartado 6 se sustituye por el texto siguiente:

«6.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de firma electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando el certificado cualificado de firma electrónica sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

27) En el artículo 29, se inserta el apartado siguiente:

«1 bis.   La creación o la gestión de datos de creación de firma electrónica o la duplicación de estos datos de creación de firma con fines de copia de seguridad se llevará a cabo únicamente en nombre del firmante, a solicitud de este, y por un prestador cualificado de servicios de confianza que preste un servicio de confianza cualificado para la gestión de un dispositivo cualificado de creación de firma electrónica a distancia.».

28) Se inserta el artículo siguiente:

«Artículo 29 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia

1.   La gestión de dispositivos cualificados de creación de firma electrónica a distancia como servicio cualificado se llevará a cabo únicamente por un prestador cualificado de servicios de confianza que:

a) cree o gestione datos de creación de firmas electrónicas en nombre del signatario;

b) no obstante lo dispuesto en el punto 1, letra d), del anexo II, duplique los datos de creación de firmas electrónicas exclusivamente con fines de copia de seguridad, siempre y cuando se cumplan los requisitos siguientes:

i) la seguridad de los conjuntos de datos duplicados debe ser del mismo nivel que el previsto para los conjuntos de datos originales,

ii) el número de conjuntos de datos duplicados no debe superar el mínimo necesario para garantizar la continuidad del servicio;

c) cumpla todos los requisitos definidos en el informe de certificación del dispositivo cualificado específico de creación de firmas electrónicas a distancia expedido en virtud del artículo 30.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

29) En el artículo 30, se inserta el apartado siguiente:

«3 bis.   La certificación a que se refiere el apartado 1 tendrá una validez máxima de cinco años, siempre que se lleve a cabo una evaluación de las vulnerabilidades cada dos años. Cuando se detecten vulnerabilidades y no se subsanen, se cancelará la certificación.».

30) En el artículo 31, el apartado 3 se sustituye por el texto siguiente:

«3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, por medio de actos de ejecución, los formatos y procedimientos aplicables a efectos de lo dispuesto en el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

31) El artículo 32 se modifica como sigue:

a) en el apartado 1 se añade el párrafo siguiente:

«Se presumirá el cumplimiento de los requisitos establecidos en el párrafo primero del presente apartado cuando la validación de firmas electrónicas cualificadas sea conforme a las normas, las especificaciones y los procedimientos a que se refiere el apartado 3.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas cualificadas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

32) Se inserta el artículo siguiente:

«Artículo 32 bis. Requisitos aplicables a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados

1.   El proceso de validación de una firma electrónica avanzada basada en un certificado cualificado confirmará la validez de dicha firma siempre que:

a) el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b) el certificado cualificado fuera expedido por un prestador cualificado de servicios de confianza y fuera válido en el momento de la firma;

c) los datos de validación de la firma correspondan a los datos proporcionados a la parte usuaria;

d) el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e) en caso de que se utilice un seudónimo, la utilización de este se indique claramente a la parte usuaria en el momento de la firma;

f) la integridad de los datos firmados no se haya visto comprometida;

g) se hayan cumplido los requisitos previstos en el artículo 26 en el momento de la firma.

2.   El sistema utilizado para validar la firma electrónica avanzada basada en un certificado cualificado ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas avanzadas basadas en certificados cualificados. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando la validación de firmas electrónicas avanzadas basadas en certificados cualificados sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

33) En el artículo 33, el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables al servicio de validación cualificado a que se refiere el apartado 1 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando el servicio de validación cualificado para firmas electrónicas cualificadas sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

34) El artículo 34 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas sean conformes a los procedimientos, las especificaciones y las normas a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.».

35) En el artículo 35, se suprime el apartado 3.

36) El artículo 36 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2.   A más tardar el 21 de mayo de 2026, la Comisión realizará una evaluación sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para sellos electrónicos avanzados. Sobre la base de dicha evaluación, la Comisión puede adoptar dichos actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a los sellos electrónicos avanzados cuando el sello electrónico avanzado sea conforme a dichos procedimientos, especificaciones y normas. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

37) En el artículo 37, se suprime el apartado 4.

38) En el artículo 38, el apartado 6 se sustituye por el texto siguiente:

«6.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de sello electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando el certificado cualificado de sello electrónico sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

39) Se inserta el artículo siguiente:

«Artículo 39 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia

El artículo 29 bis se aplicará mutatis mutandis a los servicios cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia.».

40) En el capítulo III, sección 5 se inserta el artículo siguiente:

«Artículo 40 bis. Requisitos aplicables a la validación de los sellos electrónicos avanzados basados en certificados cualificados

El artículo 32 bis se aplicará mutatis mutandis a la validación de los sellos electrónicos avanzados basados en certificados cualificados.».

41) En el artículo 41, se suprime el apartado 3.

42) El artículo 42 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la vinculación de la fecha y hora con los datos y exactitud de la fuente de información temporal sea conforme a las normas, las especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la vinculación de la fecha y hora con los datos y para el establecimiento de la exactitud de las fuentes de información temporal. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

43) El artículo 44 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los procesos de envío y recepción de datos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

c) se insertan los apartados siguientes:

«2 bis.   Los prestadores de servicios cualificados de entrega electrónica certificada podrán acordar la interoperabilidad entre los servicios cualificados de entrega electrónica certificada que presten. Dicho marco de interoperabilidad cumplirá los requisitos establecidos en el apartado 1 y dicho cumplimiento será confirmado por un organismo de evaluación de la conformidad.

2 ter.   La Comisión podrá establecer, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables al marco de interoperabilidad a que se refiere el apartado 2 bis del presente artículo. Las especificaciones técnicas y el contenido de las normas serán rentables y proporcionados. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

44)El artículo 45 se sustituye por el texto siguiente:

«Artículo 45. Requisitos aplicables a los certificados cualificados de autenticación de sitios web

1.   Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.

1 bis.   Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.

1 ter.   Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

45) Se inserta al artículo siguiente:

«Artículo 45 bis. Medidas cautelares en materia de ciberseguridad

1.   Los proveedores de navegadores web no adoptarán ninguna medida contraria a sus obligaciones establecidas en el artículo 45, en particular los requisitos de reconocer los certificados cualificados de autenticación de sitios web y de mostrar los datos de identificación de la persona proporcionados de un modo que sea fácil de consultar.

2.   No obstante lo dispuesto en el apartado 1 y solo en caso de preocupaciones justificadas relacionadas con violaciones de la seguridad o la pérdida de integridad de un certificado o conjunto de certificados identificados, los proveedores de navegadores web podrán adoptar medidas cautelares en relación con dicho certificado o conjunto de certificados.

3.   Cuando se adopten medidas, los proveedores de navegadores web notificarán, en virtud del apartado 2, sus preocupaciones por escrito, sin demora indebida, junto con una descripción de las medidas adoptadas para mitigarlas, a la Comisión, al organismo de supervisión competente, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya expedido dicho certificado o conjunto de certificados. Tras la recepción de dicha notificación, el organismo de supervisión competente expedirá un acuse de recibo al proveedor del navegador web en cuestión.

4.   El organismo de supervisión competente investigará las cuestiones planteadas en la notificación, de conformidad con el artículo 46 ter, apartado 4, letra k). Cuando el resultado de la investigación no implique la retirada de la cualificación del certificado, el organismo de supervisión informará de ello al proveedor del navegador web y solicitará que ese proveedor ponga fin a las medidas cautelares a que se refiere el apartado 2 del presente artículo.».

46) En el capítulo III se insertan las secciones siguientes:

«SECCIÓN 9. DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS

Artículo 45 ter. Efectos jurídicos de la declaración electrónica de atributos

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una declaración electrónica de atributos por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a las declaraciones electrónicas cualificadas de atributos.

2.   Las declaraciones electrónicas cualificadas de atributos y las declaraciones de atributos expedidas por, o en nombre de, un organismo del sector público responsable de una fuente auténtica tendrán los mismos efectos jurídicos que las declaraciones lícitamente expedidas en papel.

3.   Una declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica en un Estado miembro será reconocida en todos los Estados miembros como declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica.

Artículo 45 quater. Declaración electrónica de atributos en servicios públicos

Cuando el Derecho nacional exija una identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para acceder a un servicio en línea prestado por un organismo del sector público, los datos de identificación de la persona contenidos en la declaración electrónica de atributos no sustituirán a la identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para la identificación electrónica a menos que el Estado miembro lo autorice expresamente. En tal caso, también se aceptarán las declaraciones electrónicas cualificadas de atributos procedentes de otros Estados miembros.

Artículo 45 quinquies. Requisitos aplicables a la declaración electrónica cualificada de atributos

1.   La declaración electrónica cualificada de atributos cumplirá los requisitos establecidos en el anexo V.

2.   La evaluación del cumplimiento de los requisitos establecidos en el anexo V se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 5 del presente artículo.

3.   Las declaraciones electrónicas cualificadas de atributos no estarán sometidas a ningún requisito obligatorio además de los requisitos establecidos en el anexo V.

4.   Si una declaración electrónica cualificada de atributos ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para las declaraciones electrónicas cualificadas de atributos. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 sexies. Cotejo de atributos con fuentes auténticas

1.   En un plazo de veinticuatro meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, los Estados miembros garantizarán que, al menos para los atributos que se enumeran en el anexo VI, cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público, se adopten medidas para permitir que los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verifiquen dichos atributos por medios electrónicos, a petición del usuario, de conformidad con el Derecho de la Unión o nacional.

2.   A más tardar el 21 de noviembre de 2024, la Comisión, teniendo en cuenta las normas internacionales aplicables, mediante actos de ejecución, establecerá una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos en lo que respecta al catálogo de atributos, así como a los sistemas de declaración de atributos y a los procedimientos de verificación de declaraciones electrónicas cualificadas de atributos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución serán coherentes con el acto de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 septies. Requisitos aplicables a la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este

1.   Las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en su nombre cumplirán los requisitos siguientes:

a) los establecidos en el anexo VII;

b) el certificado cualificado que respalde la firma electrónica cualificada o el sello electrónico cualificado del organismo del sector público a que se refiere el artículo 3, punto 46, identificado como el emisor a que se refiere el anexo VII, letra b), contendrá un conjunto específico de atributos certificados en un formato adecuado para el tratamiento automático que:

i) indicará que el organismo emisor está establecido de conformidad con el Derecho de la Unión o nacional, bien como responsable de la fuente auténtica con arreglo a la cual se expide la declaración electrónica de atributos, bien como el organismo designado para actuar en su nombre,

ii) proporcionará un conjunto de datos que representen inequívocamente la fuente auténtica a que se refiere el inciso i), y

iii) determinará el Derecho de la Unión o nacional a que se refiere el inciso i).

2.   El Estado miembro en el que estén establecidos los organismos del sector público a que se refiere el artículo 3, punto 46, velará por que los organismos del sector público que expidan declaraciones electrónicas de atributos cumplan un nivel de fiabilidad equivalente al de los prestadores cualificados de servicios de confianza de conformidad con el artículo 24.

3.   Los Estados miembros notificarán a la Comisión los organismos del sector público a que se refiere el artículo 3, punto 46. Dicha notificación incluirá un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme que se cumplen los requisitos establecidos en los apartados 1, 2 y 6 del presente artículo. La Comisión pondrá a disposición del público, a través de un canal seguro, la información de los organismos del sector público a que se refiere el artículo 3, punto 46, en una forma firmada o sellada electrónicamente adecuada para el tratamiento automático.

4.   Si una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y su estado será irreversible.

5.   Se considerará que una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este cumple los requisitos establecidos en el apartado 1 del presente artículo cuando sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 6.

6.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica o en nombre de este. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

7.   A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para el apartado 3 del presente artículo. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

8.   Los organismos del sector público a que se refiere el artículo 3, punto 46, que expidan declaraciones electrónicas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen de conformidad con el artículo 5 bis.

Artículo 45 octies. Emisión de declaraciones electrónicas de atributos a las carteras europeas de identidad digital

1.   Los prestadores de declaraciones electrónicas de atributos brindarán a los usuarios de carteras europeas de identidad digital la posibilidad de solicitar, obtener, almacenar y gestionar la declaración electrónica de atributos independientemente del Estado miembro en el que se proporcione la cartera europea de identidad digital.

2.   Los prestadores de declaraciones electrónicas cualificadas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen con arreglo al artículo 5 bis.

Artículo 45 nonies. Normas adicionales para la prestación de servicios de declaración electrónica de atributos

1.   Los prestadores de servicios cualificados y no cualificados de declaración electrónica de atributos se abstendrán de combinar datos personales relacionados con la prestación de dichos servicios con datos personales obtenidos a través de otros servicios que ofrezcan ellos o sus socios comerciales.

2.   Se establecerá una separación lógica entre los datos personales relacionados con la prestación de servicios de declaración electrónica de atributos y otros datos que obren en poder del prestador de declaraciones electrónicas de atributos.

3.   Los prestadores de servicios de declaraciones electrónicas cualificadas de atributos llevarán a cabo la prestación de dichos servicios de confianza cualificados de manera funcionalmente separada de otros servicios que presten.

SECCIÓN 10. SERVICIOS DE ARCHIVO ELECTRÓNICO

Artículo 45 decies

Efecto jurídico de los servicios de archivo electrónico

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a los datos electrónicos ni a los documentos electrónicos conservados mediante un servicio de archivo electrónico por el mero hecho de que estén en formato electrónico o no estén conservados mediante un servicio cualificado de archivo electrónico.

2.   Los datos electrónicos y documentos electrónicos conservados mediante un servicio cualificado de archivo electrónico gozarán de la presunción de su integridad y origen durante el período de conservación por el prestador cualificado de servicios de confianza.

Artículo 45 undecies. Requisitos aplicables a los servicios cualificados de archivo electrónico

1.   Los servicios cualificados de archivo electrónico cumplirán los requisitos siguientes:

a) ser prestados por prestadores cualificados de servicios de confianza;

b) utilizar procedimientos y tecnologías capaces de asegurar la durabilidad y legibilidad de los datos y documentos electrónicos más allá del período de validez tecnológica y, al menos, durante el período de conservación legal o contractual, manteniendo al mismo tiempo su integridad y la exactitud de su origen;

c) garantizar que dichos datos y documentos electrónicos se conserven de tal manera que queden protegidos contra su pérdida o alteración, excepto en el caso de los cambios relativos a su soporte o formato electrónico;

d) permitir que las partes usuarias autorizadas reciban de forma automatizada un informe que confirme que los datos o documentos electrónicos recuperados de un archivo electrónico cualificado gozan de la presunción de integridad desde el inicio del período de conservación hasta el momento de su recuperación.

El informe a que se refiere el párrafo primero, letra d), se proporcionará de manera fiable y eficiente e incluirá la firma electrónica cualificada o el sello electrónico cualificado del prestador del servicio cualificado de archivo electrónico.

2.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los servicios cualificados de archivo electrónico. Se presumirá el cumplimiento de los requisitos aplicables a los servicios cualificados de archivo electrónico cuando un servicio cualificado de archivo electrónico sea conforme a dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 11. LIBROS MAYORES ELECTRÓNICOS

Artículo 45 duodecies. Efectos jurídicos de los libros mayores electrónicos

1.   No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un libro mayor electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a los libros mayores electrónicos cualificados.

2.   Los registros de datos contenidos en un libro mayor electrónico cualificado gozarán de la presunción de unicidad y exactitud de su orden cronológico secuencial y de su integridad.

Artículo 45 terdecies. Requisitos aplicables a los libros mayores electrónicos cualificados

1.   Un libro mayor electrónico cualificado cumplirá los requisitos siguientes:

a) estar creado y gestionado por uno o más prestadores cualificados de servicios de confianza;

b) establecer el origen de los registros de datos en el libro mayor;

c) garantizar la unicidad del orden cronológico secuencial de los registros de datos en el libro mayor;

d) grabar datos de modo que sea posible detectar de forma inmediata cualquier modificación posterior de estos, garantizando su integridad a lo largo del tiempo.

2.   Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando un libro mayor electrónico sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 3.

3.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los requisitos a que se refiere el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

47) Se inserta el capítulo siguiente:

«CAPÍTULO IV bis. MARCO DE GOBERNANZA

Artículo 46 bis. Supervisión del marco de la cartera europea de identidad digital

1.   Los Estados miembros designarán uno o más organismos de supervisión establecidos en su territorio.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones de forma eficaz, eficiente e independiente.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos de supervisión designados en virtud del apartado 1, así como cualquier modificación posterior de los mismos. La Comisión publicará una lista de los organismos de supervisión notificados.

3.   Las funciones de los organismos de supervisión designados en virtud del apartado 1 serán las siguientes:

a) supervisar a los proveedores de carteras europeas de identidad digital establecidos en el Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos proveedores y las carteras europeas de identidad digital que proporcionan cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los proveedores de carteras europeas de identidad digital establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se les haya informado de que los proveedores o las carteras europeas de identidad digital que proporcionan infringen el presente Reglamento.

4.   Las tareas de los organismos de supervisión designados s en virtud del apartado 1 incluirán, en concreto, las siguientes:

a) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

b) solicitar la información necesaria para controlar el cumplimiento del presente Reglamento;

c) informar a las autoridades competentes pertinentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de los Estados miembros de que se trate de cualquier violación significativa de la seguridad o la pérdida de integridad de la que tengan conocimiento en el desempeño de sus funciones y, en caso de violación significativa de la seguridad o la pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único designado con arreglo al artículo 8, apartado 3, de la Directiva (UE) 2022/2555 del Estado miembro de que se trate y a los puntos de contacto únicos designados de conformidad con el artículo 46 quater, apartado 1, del presente Reglamento en los demás Estados miembros de que se trate, e informar al público o exigir a los proveedores de carteras europeas de identidad digital que lo hagan en caso de que el organismo de supervisión determine que la divulgación de la violación de la seguridad o la pérdida de integridad reviste interés público;

d) emprender inspecciones in situ y actividades de supervisión externa;

e) requerir que los proveedores de carteras europeas de identidad digital corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

f) suspender o cancelar el registro y la inclusión de las partes usuarias en el mecanismo a que se refiere el artículo 5 ter, apartado 7, en caso de uso ilegal o fraudulento de la cartera europea de identidad digital;

g) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas sin dilación indebida en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

5.   Cuando el organismo de supervisión designado en virtud del apartado 1 exija al proveedor de una cartera europea de identidad digital que subsane cualquier incumplimiento de los requisitos establecidos en el presente Reglamento de conformidad con el apartado 4, letra e), y dicho proveedor no actúe en consecuencia y, si procede, dentro del plazo fijado por dicho organismo de supervisión, el organismo de supervisión designado en virtud del apartado 1, teniendo en cuenta, en particular, el alcance, la duración y las consecuencias de dicho incumplimiento, podrá ordenar al proveedor que suspenda o cese la provisión de la cartera europea de identidad digital. El organismo de supervisión informará a los organismos de supervisión de otros Estados miembros, a la Comisión, a las partes usuarias y a los usuarios de la cartera europea de identidad digital, sin demora indebida, de la decisión de exigir la suspensión o el cese de la provisión de la cartera europea de identidad digital.

6.   A más tardar el 31 de marzo de cada año, cada organismo de supervisión designado en virtud del apartado 1 presentará a la Comisión un informe sobre las principales actividades que haya llevado a cabo en el año natural anterior. La Comisión pondrá dichos informes anuales a disposición del Parlamento Europeo y del Consejo.

7.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos para el informe a que se refiere el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 ter. Supervisión de los servicios de confianza

1.   Los Estados miembros designarán un organismo de supervisión establecido en su territorio o designarán, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en ese otro Estado miembro. Dicho organismo de supervisión será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación en lo que respecta a los servicios de confianza.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de sus organismos de supervisión, designados en virtud del apartado 1, así como cualquier modificación posterior a este respecto. La Comisión publicará una lista de los organismos de supervisión notificados.

3.   La función de los organismos de supervisión designados en virtud del apartado 1 será la siguiente:

a) supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se le informe de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos incumplen presuntamente los requisitos establecidos en el presente Reglamento.

4.   Las funciones del organismo de supervisión designado en virtud del apartado 1 incluirán, en particular, las siguientes:

a) informar a las autoridades competentes pertinentes de los Estados miembros de que trate designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de cualquier violación significativa de la seguridad o pérdida de integridad de las que tenga conocimiento en el desempeño de sus funciones y, en caso de una violación significativa de la seguridad o pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único del Estado miembro de que se trate designado o establecido en virtud del artículo 8, apartado 3, de la Directiva (UE) 2022/2555 y a los puntos de contacto únicos de los demás Estados miembros de que se trate designados en virtud del artículo 46 quater, apartado 1, del presente Reglamento, e informar al público —o exigir al prestador de servicios de confianza que lo haga— en caso de que el organismo de supervisión considere que la divulgación de la violación de la seguridad o pérdida de integridad revistiera interés público;

b) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

c) analizar los informes de evaluación de la conformidad a que se refieren el artículo 20, apartado 1, y el artículo 21, apartado 1;

d) informar a la Comisión de sus actividades principales de conformidad con el apartado 6 del presente artículo;

e) realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, de conformidad con el artículo 20, apartado 2;

f) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas, sin dilación indebida, en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

g) conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar dicha cualificación, de conformidad con los artículos 20 y 21;

h) comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 22, apartado 3, de su decisión de conceder o retirar la cualificación, salvo si dicho organismo es también el organismo de supervisión designado en virtud del apartado 1 del presente artículo;

i) verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese cuando los prestadores cualificados de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, de conformidad con el artículo 24, apartado 2, letra h);

j) requerir que los prestadores de servicios de confianza corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

k) investigar las denuncias de los proveedores de navegadores web en virtud del artículo 45 bis y tomar medidas en caso necesario.

5.   Los Estados miembros podrán disponer que el organismo de supervisión designado en virtud del apartado 1 establezca, mantenga y actualice una infraestructura de confianza de conformidad con el Derecho nacional.

6.   A más tardar el 31 de marzo de cada año, cada organismo de supervisión designado en virtud del apartado 1 presentará a la Comisión un informe sobre las principales actividades que haya llevado a cabo en el año natural anterior. La Comisión pondrá dichos informes anuales a disposición del Parlamento Europeo y del Consejo.

7.   A más tardar el 21 de mayo de 2025, la Comisión adoptará directrices sobre el ejercicio, por los organismos de supervisión designado en virtud del apartado 1 del presente artículo, de las funciones a que se refiere el apartado 4 del presente artículo y, mediante actos de ejecución, definirá los formatos y procedimientos del informe previsto en el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 quater. Puntos de contacto únicos

1.   Cada Estado miembro designará un punto de contacto único para los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados.

2.   Cada punto de contacto único ejercerá una función de enlace para facilitar la cooperación transfronteriza entre los organismos de supervisión de los prestadores de servicios de confianza y entre los organismos de supervisión de los proveedores de carteras europeas de identidad digital y, cuando proceda, con la Comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y con otras autoridades competentes de su Estado miembro.

3.   Cada Estado miembro hará públicos y, sin demora indebida, notificará a la Comisión los nombres y direcciones del punto de contacto único designado en virtud del apartado 1, así como cualquier modificación posterior a este respecto.

4.   La Comisión publicará una lista de los puntos de contacto únicos notificados en virtud del apartado 3.

Artículo 46 quinquies. Asistencia mutua

1.   A fin de facilitar la supervisión y el cumplimiento de las obligaciones establecidas en virtud del presente Reglamento, los organismos de supervisión designados en virtud del artículo 46 bis, apartado 1, y del artículo 46 ter, apartado 1, podrán solicitar —también a través del Grupo de Cooperación establecido de conformidad con el artículo 46 sexies, apartado 1— asistencia mutua de organismos de supervisión de otro Estado miembro en el que el prestador de la cartera europea de identidad digital o el prestador de servicios de confianza esté establecido, o en el que se encuentren sus redes y sistemas de información o se presten sus servicios.

2.   La asistencia mutua implicará, como mínimo, lo siguiente:

a) el organismo de supervisión que aplique medidas de supervisión y ejecución en un Estado miembro informará y consultará al organismo de supervisión del otro Estado miembro afectado;

b) un organismo de supervisión podrá solicitar al organismo de supervisión de otro Estado miembro afectado que adopte medidas de supervisión o ejecución, entre las que se podrá contar, por ejemplo, cursar solicitudes de inspección en relación con los informes de evaluación de la conformidad contemplados en los artículos 20 y 21 en lo referente a la prestación de servicios de confianza;

c) cuando proceda, los organismos de supervisión podrán llevar a cabo investigaciones conjuntas con los organismos de supervisión de otros Estados miembros.

Los acuerdos y procedimientos para las acciones conjuntas con arreglo al párrafo primero serán aprobados y establecidos por los Estados miembros de que se trate de conformidad con su Derecho nacional.

3.   El organismo de supervisión al que se haya dirigido una solicitud de asistencia podrá denegar dicha solicitud por alguno de los motivos siguientes:

a) la asistencia solicitada no guarda proporción con las actividades de supervisión del organismo de supervisión realizadas de conformidad con los artículos 46 bis y 46 ter;

b) el organismo de supervisión no es competente para prestar la asistencia solicitada;

c) la prestación de la asistencia solicitada sería incompatible con el presente Reglamento.

4.   A más tardar el 21 de mayo de 2025, y posteriormente cada dos años, el Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, formulará orientaciones sobre los aspectos organizativos y los procedimientos para la asistencia mutua a que se refieren los apartados 1 y 2 del presente artículo.

Artículo 46 sexies. El Grupo de Cooperación sobre la Identidad Digital Europea

1.   Con el fin de apoyar y facilitar la cooperación transfronteriza de los Estados miembros y el intercambio de información sobre los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados, la Comisión creará el Grupo de Cooperación sobre la Identidad Digital Europea.

2.   El Grupo de Cooperación estará formado por representantes nombrados por los Estados miembros y la Comisión. El Grupo de Cooperación estará presidido por la Comisión. La Comisión asumirá la secretaría del Grupo de Cooperación.

3.   Podrá invitarse a representantes de las partes interesadas pertinentes a asistir a las reuniones del Grupo de Cooperación y a participar en sus trabajos en calidad de observadores ad hoc.

4.   Se invitará a la ENISA a participar en calidad de observadora en los trabajos del Grupo de Cooperación cuando este intercambie puntos de vista, mejores prácticas e información sobre aspectos pertinentes en materia de ciberseguridad, como la notificación de violaciones de la seguridad, y cuando se trate del uso de certificados o las normas sobre ciberseguridad.

5.   El Grupo de Cooperación desempeñará las siguientes funciones:

a) intercambiar recomendaciones y cooperar con la Comisión en las iniciativas políticas emergentes en el ámbito de las carteras de identidad digital, los medios de identificación electrónica y los servicios de confianza;

b) asesorar a la Comisión, según proceda, en la preparación temprana de los proyectos de actos delegados y de ejecución que deban adoptarse en virtud del presente Reglamento;

c) con el fin de apoyar a los organismos de supervisión en la aplicación de las disposiciones del presente Reglamento:

i) intercambiar las mejores prácticas e información sobre la aplicación de las disposiciones del presente Reglamento,

ii) evaluar los avances pertinentes en el ámbito de los sectores de la cartera de identidad digital, la identificación electrónica y los servicios de confianza,

iii) organizar reuniones conjuntas con las partes interesadas pertinentes de toda la Unión para tratar las actividades realizadas por el Grupo de Cooperación y recabar apreciaciones sobre los desafíos políticos emergentes,

iv) con el apoyo de la ENISA, intercambiar opiniones, mejores prácticas e información sobre los aspectos de ciberseguridad pertinentes relativos a las carteras europeas de identidad digital, los sistemas de identificación electrónica y los servicios de confianza,

v) intercambiar mejores prácticas en relación con el desarrollo y la ejecución de políticas sobre la notificación de violaciones de la seguridad y las medidas comunes a que se refieren los artículos 5 sexies y 10,

vi) organizar reuniones conjuntas con el Grupo de Cooperación SRI establecido en virtud del artículo 14, apartado 1, de la Directiva (UE) 2022/2555 para intercambiar la información pertinente referente a ciberamenazas, incidencias, vulnerabilidades, iniciativas de sensibilización, formación, ejercicios y destrezas, desarrollo de capacidades, capacidad relativa a las normas y especificaciones técnicas y las propias normas y especificaciones técnicas en relación con los servicios de confianza y la identificación electrónica,

vii) debatir, a petición de un organismo de supervisión, las solicitudes concretas de asistencia mutua a que se refiere el artículo 46 quinquies,

viii) facilitar el intercambio de información entre los organismos de supervisión, orientando sobre los aspectos organizativos y los procedimientos de la asistencia mutua a que se refiere el artículo 46 quinquies;

d) organizar revisiones inter pares de los sistemas de identificación electrónica que vayan a notificarse con arreglo al presente Reglamento.

6.   Los Estados miembros garantizarán una cooperación efectiva y eficiente de sus representantes designados en el Grupo de cooperación.

7.   A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los mecanismos de procedimiento necesarios para facilitar la cooperación entre los Estados miembros a que se refiere el apartado 5, letra d), del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

48) El artículo 47 se modifica como sigue:

a)  los apartados 2 y 3 se sustituyen por el texto siguiente:

«2.   Los poderes para adoptar actos delegados mencionados en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, se otorgan a la Comisión por un período de tiempo indefinido a partir del 17 de septiembre de 2014.

3.   La delegación de poderes mencionada en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.»;

b) el apartado 5 se sustituye por el texto siguiente:

«5.   Los actos delegados adoptados en virtud del artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.».

49) En el capítulo VI se inserta el artículo siguiente:

«Artículo 48 bis. Requisitos de información

1.   Los Estados miembros garantizarán la recopilación de estadísticas relativas al funcionamiento de las carteras europeas de identidad digital y los servicios de confianza cualificados prestados en su territorio.

2.   Las estadísticas recopiladas de conformidad con el apartado 1 incluirán los siguientes elementos:

a) el número de personas físicas y jurídicas poseedoras de una cartera europea de identidad digital válida;

b) el tipo y cantidad de servicios que aceptan el uso de la cartera europea de identidad digital;

c) la cantidad de reclamaciones de usuarios e incidencias de protección de los consumidores o de protección de datos relacionadas con las partes usuarias y los servicios de confianza cualificados;

d) un informe resumido que incluya datos sobre las incidencias que impidan utilizar la cartera europea de identidad digital;

e) un resumen de las incidencias de seguridad importantes, de las violaciones de la seguridad de los datos y de los usuarios de carteras europeas de identidad digital o de servicios de confianza cualificados que hayan resultado afectados.

3.   Las estadísticas a que se refiere el apartado 2 se harán públicas en un formato abierto, de uso común y legible por máquina.

4.   Cada año, a más tardar el 31 de marzo, los Estados miembros presentarán a la Comisión un informe sobre las estadísticas recopiladas de conformidad con el apartado 2.».

50) El artículo 49 se sustituye por el texto siguiente:

«Artículo 49. Revisión

1.   La Comisión revisará la aplicación del presente Reglamento y, a más tardar el 21 de mayo de 2026, informará al Parlamento Europeo y al Consejo. En dicho informe, la Comisión evaluará, en particular, si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidas, en concreto, las disposiciones que figuran en el artículo 5 quater, apartado 5, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica. Si fuera necesario, dicho informe irá acompañado de una propuesta de modificación del presente Reglamento.

2.   El informe a que se refiere el apartado 1 incluirá una evaluación de la disponibilidad, seguridad y facilidad de uso de los medios de identificación electrónica notificados y las carteras europeas de identidad digital que entran dentro del ámbito de aplicación del presente Reglamento y evaluarán si debe requerirse a todos los prestadores de servicios privados en línea que se apoyan en servicios de identificación electrónica de terceros con fines de autenticación de los usuarios que acepten el uso de los medios de identificación electrónicos notificados y la cartera europea de identidad digital.

3.   A más tardar el 21 de mayo de 2030, la Comisión presentará un informe al Parlamento Europeo y al Consejo sobre la marcha hacia el logro de los objetivos del presente Reglamento.».

51) El artículo 51 se sustituye por el texto siguiente:

«Artículo 51. Disposiciones transitorias

1.   Los dispositivos de creación de firma segura cuya conformidad se haya determinado con arreglo al artículo 3, apartado 4, de la Directiva 1999/93/CE continuarán considerándose dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento hasta el 21 de mayo de 2027.

2.   Los certificados cualificados expedidos a personas físicas con arreglo a la Directiva 1999/93/CE seguirán considerándose certificados cualificados de firma electrónica en virtud del presente Reglamento hasta el 21 de mayo de 2026.

3.   Los prestadores cualificados de servicios de confianza distintos de aquellos que presten servicios cualificados de confianza para la gestión de dispositivos cualificados de creación de firma y sello electrónicos a distancia de conformidad con los artículos 29 bis y 39 bis podrán seguir llevando a cabo la gestión de certificados cualificados de firma electrónica sin la necesidad de obtener la cualificación para la prestación de dichos servicios de gestión hasta el 21 de mayo de 2026.

4.   Los prestadores cualificados de servicios de confianza a los que se haya concedido su cualificación en virtud del presente Reglamento antes del 20 de mayo de 2024 presentarán al organismo de supervisión un informe de evaluación de la conformidad que demuestre el cumplimiento del artículo 24, apartados 1, 1 bis y 1 ter, tan pronto como sea posible y, en cualquier caso, antes del 21 de mayo de 2026.».

52) Los anexos I a IV se modifican, respectivamente, de conformidad con lo dispuesto en los anexos I a IV del presente Reglamento.

53) Se añaden los nuevos anexos V, VI y VII, tal como figuran en los anexos V, VI y VII del presente Reglamento.

Artículo 2. Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 11 de abril de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, La Presidenta, H. LAHBIB

(*1)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).».»

(*2)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).»

(*3)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).»

(*4)  Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).»

(*5)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).».»

(*6)  Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).».»

(*7)  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).».»

——————————————

(1)   DO C 105 de 4.3.2022, p. 81.

(2)   DO C 61 de 4.2.2022, p. 42.

(3)  Posición del Parlamento Europeo de 29 de febrero de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 26 de marzo de 2024.

(4)  Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(5)  Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, por la que se establece el programa estratégico de la Década Digital para 2030 (DO L 323 de 19.12.2022, p. 4).

(6)   DO C 23 de 23.1.2023, p. 1.

(7)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO L 119 de 4.5.2016, p. 1).

(8)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(9)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(10)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(11)  Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación (DO L 188 de 12.7.2019, p. 67).

(12)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(13)  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).

(14)  Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).

(15)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).

(16)  Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51).

—————————————————————-

ANEXO I. En el anexo I del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO II. En el anexo II del Reglamento (UE) nº 910/2014, se suprimen los puntos 3 y 4.

ANEXO III. En el anexo III del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO IV. El anexo IV del Reglamento (UE) nº 910/2014 se modifica como sigue:

1) La letra c) se sustituye por el texto siguiente:

«c) para las personas físicas: al menos el nombre de la persona a la que se expida el certificado, o un seudónimo; y, cuando se use un seudónimo, una indicación clara en este sentido;

c bis) para las personas jurídicas: un conjunto único de datos que represente inequívocamente a la persona jurídica a la que se expide el certificado, con al menos el nombre de la persona jurídica a la que se expide el certificado y, en su caso, el número de registro tal como figura en los registros oficiales;».

2) La letra j) se sustituye por el texto siguiente:

«j) la información o la localización de los servicios de estado de validez del certificado que pueden utilizarse para consultar el estado de validez del certificado cualificado.».

ANEXO V.

«ANEXO V. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA CUALIFICADA DE ATRIBUTOS

La declaración electrónica cualificada de atributos contendrá:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica cualificada de atributos;

b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide la declaración electrónica cualificada de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho prestador está establecido, y:

i) para personas jurídicas, el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,

ii) para personas físicas, el nombre de la persona;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el prestador cualificado de servicios de confianza y, si procede, la indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del prestador cualificado de servicios de confianza expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración cualificada.».

ANEXO VI

«ANEXO VI. LISTA MÍNIMA DE ATRIBUTOS

En virtud de lo dispuesto en el artículo 45 sexies, los Estados miembros garantizarán la adopción de medidas que permitan a los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verificar por medios electrónicos, a petición del usuario, la autenticidad de los atributos siguientes, cotejándolos con las fuentes auténticas pertinentes a escala nacional o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional y cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público:

1. dirección,

2. edad,

3. sexo,

4. estado civil,

5. composición familiar,

6. nacionalidad o ciudadanía,

7. cualificaciones, títulos y licencias académicos,

8. cualificaciones, títulos y licencias profesionales,

9. facultades y mandatos para representar a personas físicas o jurídicas,

10. permisos y licencias públicos,

11. en el caso de las personas jurídicas, datos financieros y sociales.».

ANEXO VII.

«ANEXO VII. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS EXPEDIDA POR UN ORGANISMO PÚBLICO RESPONSABLE DE UNA FUENTE AUTÉNTICA O EN NOMBRE DE ESTE

Las declaraciones electrónicas de atributos expedidas por un organismo público responsable de una fuente auténtica, o en nombre de este, contendrán:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica de atributos por un organismo público responsable de una fuente auténtica, o en nombre de este;

b) un conjunto de datos que represente inequívocamente al organismo público que expide la declaración electrónica de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho organismo público tiene su sede y su nombre y, en su caso, su número de registro tal como figura en los registros oficiales;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el organismo público expedidor y, si procede, una indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del organismo expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración.».

09May/21

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales, 12 febrero 2021

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales. Expediente nº 22.388. (Diario Oficial La Gaceta, año CXLLL, nº 30 (alcance 33 a la Gaceta 30), San José, Costa Rica, viernes 12 de febrero de 2021).

ASAMBLEA LEGISLATIVA. PROYECTO DE LEY COSTA RICA

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES. Expediente n° 22.388

La “Era de los Datos” plantea un gran reto para los Derechos Humanos así como para los Congresos del mundo entero. La llegada de diversas innovaciones tecnológicas en el análisis, recopilación y procesamiento de datos, así como varias coyunturas globales de reciente data, han puesto en relieve la necesidad de crear marcos normativos mucho más robustos en lo que se refiere al tratamiento de datos personales.

En 2016, Dominic Cummings, director de la campaña Leave EU -a favor de la salida de Reino Unido de la Unión Europea-, presentó al hoy Primer Ministro británico, Boris Johnson, una novedosa estrategia para ganar el referéndum conocido como Brexit. La estrategia consistía en usar los datos personales que los votantes entregan en sus redes sociales para crear perfiles psicosociales, y con ellos definir mensajes personalizados que permitieran inducir el voto.

Esa propuesta llegó al director de campaña de manos de la empresa AggregateIQ, aliada de la mundialmente conocida Cambridge Analytica (CA). Como se demostró en el Parlamento Británico posteriormente, CA participó en la campaña, y aportó los datos de los votantes y el software que generó los perfiles y la campaña personalizada. Por medio de los perfiles psicosociales, se dividió a los votantes en descartables, seguros, y potenciales. Para este último grupo, se trabajaron mensajes altamente personalizados basados en sus preocupaciones, en gran medida noticias falsas que alimentaban sus temores y desinformación.

Ese software también permitió identificar a aquellas personas desinteresadas en la política: quienes desde hace mucho tiempo no votaban o nunca habían votado en ningún proceso. Miles de estos votantes se encontraban en poblados alejados de los grandes centros de población, habiendo sido excluidos del proceso democrático, y también desplazados por los procesos de gentrificación (Harvey, 2013). Dicho grupo recibió por primera vez en mucho tiempo la visita de políticos que prometían empleo, seguridad social y vivienda… si el Reino Unido abandonaba la Unión Europea. Ese nivel de precisión -incluso fuera de las redes sociales- permiten las campañas de microtargeting basadas en datos personales.

Cambridge Analytica estuvo en el centro del escándalo desde marzo de 2018, cuando los diarios The Guardian, The New York Times y The Observer, revelaron que la consultora política accedió a los datos personales de 50 millones de usuarios de Facebook sin su autorización, y que fueron usados por la campaña del expresidente de los Estados Unidos, Donald Trump, con una estrategia digital prácticamente idéntica a la ejecutada en el Brexit (Graham y Cadwalladr, 2019). En este caso el énfasis también estuvo en la política migratoria y en divulgar noticias falsas sobre la candidata demócrata, Hillary Clinton.

La revelación la hizo uno de los creadores del sistema, Christopher Wylie, quien relató que los datos surgieron de un test de personalidad desarrollado por el profesor de la Universidad de Cambridge, Aleksandr Kogan, que, como muchas aplicaciones, requería a los usuarios iniciar sesión en Facebook y otorgar algunos permisos de acceso. 270 mil personas hicieron el test, sin saber que al hacerlo estaban autorizando a la aplicación recopilar toda su información y la de todos sus amigos de la red social, sumando alrededor de 87 millones de personas. Tampoco sabían que esa información iba a ser vendida a CA por 800 mil dólares.

El ex empleado de CA también reveló que Facebook supo lo que estaba pasando con los datos de sus usuarios muchos meses antes de que fuera divulgado por los medios de comunicación. Fue hasta después del escándalo, y de que las acciones de la red social tuvieran una millonaria caída, que su fundador y CEO, Mark Zuckerberg, reconoció públicamente los fallos en la seguridad (BBC Mundo, 2018).

Después de diversas investigaciones, Cambridge Analytica cerró, mientras Facebook siguió en el foco de atención por sus problemas de seguridad y el uso de los datos de sus usuarios. Tiempo después, la Comisión Federal de Comercio de Estados Unidos ordenó a la red social a pagar US$5.000 millones como sanción por las malas prácticas en el manejo de la seguridad de los datos de los usuarios. En Reino Unido, la red social fue condenada a pagar una multa de 500.000 libras (US $600.000) ante la Oficina del Comisionado de Información del Reino Unido por el mismo caso. La Resolución del Parlamento Europeo contra Facebook, del 25 de octubre de 2018, confirmó que se utilizaron datos personales de forma irregular por parte de Cambridge Analytica, dentro de los que se encontraban los datos de 2,7 millones de ciudadanos de la Unión.

Una visión de derechos humanos y centrada en las personas

Toda esta coyuntura profundizó las discusiones relacionadas al uso de los datos en el ámbito político-democrático, así como a los cambios que debían realizarse en las legislaciones del mundo. Como es evidente, las redes sociales están en el centro de tales debates.

Ciertamente, cada vez cobra más relevancia este tema entre una mayoría de la población; prueba de ello es la reciente migración masiva de la red de mensajería WhatsApp hacia otros servicios como Signal o Telegram (en el caso de Telegram, llegando a reportar 8 millones de personas usuarias nuevas por día a mediados de enero), debido a cambios en los términos y las condiciones de uso de WhatsApp, vinculados a cómo se usarían los datos y metadatos de sus usuarios (Sanz, 2021).

A pesar de esa creciente conciencia, coyunturas como las de Cambridge Analytica dejan claro que las empresas que lucran con los datos se aprovecharon de varios elementos claves: que las personas usuarias con su “permiso”, daban acceso a casi la totalidad de los datos colocados en sus perfiles así como a datos sobre su uso e interacción; que tales permisos acarreaban una falta de control sobre sus datos (una especie de “no retorno”) y que esencialmente las personas utilizan dichas redes para generar reacciones (likes) exponiendo su vida personal, y compartiendo información que provoque autosatisfacción, lo que permite conocer con gran precisión el perfil psicológico de esas personas de forma masiva.

“El acto de compartir noticias e información en redes sociales tiene que ver con la emoción que nos genera el contenido y que queremos socializar con el resto de las personas. Así, nos damos cuenta de que las redes sociales más que ser espacios de aislamiento social, son todo lo contrario: una proyección de nosotros mismos y un lugar donde queremos compartir no solo información, sino también emociones” (Valenzuela y Arriagada, 2016).

Este es precisamente el gran valor que hay en los datos personales en redes sociales: al haber tantísima información, tienen el potencial de identificar muy precisamente las necesidades, los miedos, los intereses de las personas y de incluso predecir los comportamientos, no solo en aspectos eminentemente comerciales o de consumo, sino en términos políticos. “La psicopolítica digital es capaz de llegar a procesos psíquicos de manera prospectiva. Es quizá mucho más rápida que la voluntad libre. Puede adelantarla. La capacidad de prospección de la psicopolítica digital significaría el fin de la libertad” (Hans y Bergés, 2014).

En este sentido, el abordaje de este gran reto debe hacerse desde el enfoque de los derechos humanos y debe comprender el valor que tiene para la robustez de las sociedades democráticas. Los marcos normativos deben tener como prioridad y centro a la persona, de forma que se garantice su autonomía y su autodeterminación alrededor de cómo se usa la información y la data que genera su vida, su interacción social, su interacción digital.

Estos marcos deben estar centrados en el usuario y enfocarse en amparar y fortalecer los derechos, al tiempo que proporcionen reglas claras y predecibles para que las cumplan las entidades públicas y privadas.” (AccessNow, 2018) Es decir, si bien los casos de mayor conocimiento público global -como los descritos arriba- han estado relacionados a empresas del sector privado, al enfocar la discusión sobre la actualización de la normativa desde las personas, les protege también ante los Estados y las instituciones públicas, evitando así usos abusivos de la información y brindando un marco de garantías más firme para la defensa de sus derechos.

“Asimismo, y como se ha podido observar a partir de los escándalos recientes que involucran a empresas del sector privado intensivas en el uso de datos, es necesario evitar que, sin contar con la experiencia necesaria, los gobiernos caigan en la tentación de desarrollar sistemas que utilicen los datos de los ciudadanos sin que incorporen paralelamente un enfoque ético y responsable desde su diseño que asegure cuestiones básicas como la privacidad o el consentimiento. Lo que aquí está en juego no es otra cosa que sentar las bases para un nuevo contrato social que permita una utilización masiva y responsable de los datos por parte de las entidades gubernamentales para proporcionar mejores servicios sociales, al tiempo que se mantiene la confianza de los ciudadanos en que los gobiernos gestionen sus datos de manera responsable.” (BID, 2019)

Datos sin protección: el reto de actualizar la normativa

Si bien ya en la década de los noventa muchos países del mundo contaban con leyes para la protección de los datos personales de sus ciudadanos, esas normativas no contemplaron un contexto como el descrito anteriormente: la era del Big Data y el desarrollo de tecnologías que tienden a que las personas pierdan el control y algunas veces hasta prácticamente la propiedad, sobre sus datos.

Costa Rica, en definitiva, no escapa a este panorama. El país cuenta con una Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales aprobada en 2011 -cuya discusión legislativa se remonta a inicios de los 2000-, que establece regulaciones para el manejo y procesamiento de datos sensibles en las bases de instituciones públicas y empresas, y que fue considerada de avanzada al momento de su creación. Sin embargo, carece de varios conceptos actuales, lo que le da un alcance relativamente limitado para tutelar correctamente los derechos de la ciudadanía en la era de la información y las nuevas tecnologías de recolección y procesamiento de datos.

El informe “Cyber Troops Country Profile: Costa Rica”, de Simone Bunse (2021), ha dejado ver que si bien en la actualidad las tácticas digitales para esparcir desinformación y propaganda electoral carecen de alta sofisticación, el uso de redes sociales con estos fines se acrecienta, ya se ha probado la contratación y el uso de servicios en el extranjero con estos fines, y es probable que su uso pueda acrecentarse y normalizarse en un futuro no muy lejano.

Por otro lado, también existen falencias y debilidades a nivel institucional -varias de ellas originadas en la ley- que no han permitido a la Autoridad Nacional de Protección de datos, la Prodhab, para hacer cumplir la ley actual y por tanto también deben subsanarse.

El Reglamento General de Protección de Datos de la Unión Europea: un referente global

El derecho a la protección de los datos personales está relacionado con el derecho a la privacidad, pero sus alcances son distintos. Más de 160 países consagran el derecho a la privacidad en sus constituciones, pero el entendimiento de lo que implica varía de un país a otro. Los estados miembros de la Unión Europea representan una excepción en este sentido, ya que reconocieron la protección de datos como un derecho fundamental en la Carta de 2001 de la UE.

La normativa que ha desarrollado la Unión Europea en materia de protección de datos ha servido de referente en para el resto del mundo, aunque ciertamente desde su aprobación también se han encontrado diversas oportunidades de mejora. En 2016, entró en vigor el Reglamento General de Protección de Datos (RGPD) y fue de aplicación en 2018. Una de sus virtudes fue el desarrollo de principios claros bajo los cuales debe realizarse cualquier tratamiento de datos personales, comprendiendo así que más allá de la tecnología utilizada o los términos en que se acordó el tratamiento de los datos en particular, los fundamentos desde los que se realiza dicho tratamiento deberían ser siempre la mismos.

Principio                                                             Resumen

Limitación del fin                            El tratamiento debe estar limitado a los fines legítimos para los cuales los datos personales fueron recogidos originalmente.

Minimización de datos                   Al momento de recoger datos, sólo se pueden solicitar los datos personales absolutamente necesarios para el fin legítimo acordado con la persona titular.

Exactitud                                         Los datos personales de los interesados deben ser siempre precisos y estar actualizados.

Integridad y confidencialidad       Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal.

Limitación del almacenamiento   Los datos solo deben ser conservados mientras sea necesario. Es decir, deben de ser eliminados una vez se haya cumplido el fin legítimo para se recogieron.

Lealtad y transparencia               Las empresas no deben realizar tratamientos que no sean legítimos, es decir, deben ser leales hacia las personas titulares con respecto a la ley. Además, las empresas deben ser transparentes con respecto al tratamiento, e informar a la persona interesada de manera abierta y transparente.

Cuadro 1. Principios para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea y Bhatia, P. (2018).

Asimismo, otro de los desarrollos conceptualmente interesantes del RGPD fueron las categorías de derechos, los cuales se plantearon bajo el mismo paradigma de procurar que, más allá de una tecnología o tipo de uso concreto, las personas usuarias puedan ejercer esos derechos en toda circunstancia, de manera que, además de ser derechos vinculantes para todo tratamiento de datos personales, deben ser de acceso gratuito y de aplicación permanente.

Derecho                                                              Resumen

Derecho de acceso                       Habilita a los usuarios a obtener confirmación de los servicios y compañías con respecto a la posible recopilación y procesamiento de sus datos personales. Los usuarios deben tener acceso a los datos y el propósito del procesamiento.

Derecho de oposición                 Permite a los usuarios a rehusarse al procesamiento de su información personal cuando no hayan prestado su consentimiento o no hayan firmado un contrato.

Derecho de supresión                 Permite que los usuarios soliciten la eliminación de todos sus datos personales cuando dejan un servicio o aplicación.

Derecho de rectificación             Permite que los usuarios soliciten la modificación de información errónea.

Derecho a la información            Garantiza que los usuarios reciban información clara y entendible por parte de las entidades que procesan sus datos, ya sea que estas entidades los recopilaron de manera directa o a través de terceros. Toda la información provista al usuario debe ser concisa, comprensible, y de fácil acceso.

Derecho a la explicación             Motiva a los usuarios a obtener información sobre el tratamiento de datos personales automatizado y sus consecuencias. Este derecho es esencial para conocer el uso de algoritmos que tienen un impacto en la vida de los usuarios.

Derecho a la portabilidad            Permite que los usuarios movilicen datos personales que han compartido de una plataforma a otra que ofrezca servicios similares.

Cuadro 2. Derechos para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea.

La lista, que no es exhaustiva, permite ver las diversas dimensiones en que debe tutelarse la autodeterminación informativa de la ciudadanía y, además que estamos ante un ámbito que requiere de mucha precisión y visión al confeccionar normativa, al tratarse de conceptos jurídicos que aplican a situaciones altamente cambiantes, con muchas posibles vulnerabilidades para la integridad de las personas.

Legislación consultada sobre protección de datos personales

Como parte de la construcción de esta propuesta, se analizaron diferentes legislaciones, junto al RGPD, para incorporar otros aspectos en que había oportunidades de mejora. Entre las legislaciones consultadas están las siguientes:

Jurisdicción                       Nombre de la norma                                                                    Año                  

Argentina                           Proyecto de Ley de Protección de Datos  Personales                 Presentación: 2017

Brasil                                 Ley General de Protección de Datos Personales (LGPD)           Aprobación: 2018 Vigencia: 2020

Canadá                              Proyecto de Reforma a la Ley de Privacidad (Privacy Act)           Presentación: 2020

Nueva Zelanda                  Privacy Act                                                                         Vigencia: 2020

Ecuador                             Proyecto de Ley Orgánica de Protección de Datos                       Presentación: 2019

Estado de California,

Estados Unidos                 Ley de Privacidad para el Consumidor del Estado de California    Vigencia: 2018

Estado de California,

Estados Unidos                 Ley de Derechos de Privacidad

del Estado de California                                                               Vigencia: 2020

Unión Europea

(Parlamento y Consejo

Europeo)                            Reglamento General de Protección de Datos      Aprobación: 2016 Vigencia: 2018

Protección de Datos en América Latina

En cuanto a la legislación consultada en América Latina, conviene destacar, una legislación de reciente aprobación, la Ley General de Protección de Datos Personales de Brasil (LGPD), que entró en vigor en 2020, después de su aprobación en 2018 y dos años de vacancia. Si bien en términos de los principios y derechos que se explicaron, así como sus sanciones, usa un marco similar al RGPD, se encuentran algunas diferencias que son interesantes de destacar:

– Incorporó medidas mucho más restrictivas para el tratamiento de datos de personas menores de edad, en particular para la obtención del consentimiento informado. La edad debajo de la cual aplican estas restricciones son los 18 años (en el RGPD, esto es hasta los 16) y la información que recibe la persona titular tiene requisitos más específicos sobre su claridad, explicación del tratamiento, e inclusive el formato.

– Las sanciones a empresas fueron relativizadas al contexto brasileño, reduciendo los porcentajes a 2% de la facturación, mientras que en el RGPD este porcentaje llega hasta a 8% en algunos casos.

– En el tema de notificación de brechas de seguridad, la LGPD tiene plazos de notificación menos severos y específicos que el RGPD.

– En el tema de transferencia transfronteriza de datos, disminuyó las excepciones con las que cuenta el RGPD para validar la transferencia de un tercer país a la jurisdicción brasileña, dando como resultado un marco más estricto.

Este marco jurídico de protección de datos personales se considera uno de los más de avanzada en la región, siendo que cumple con los estándares más innovadores e incorpora temas novedosos, como el marco de protección de derechos de personas menores de edad y se adapta a la realidad jurídica e institucional brasileña.

Sin haber conseguido su aprobación aún, existen otros esfuerzos en América Latina orientados a actualizar las normas a estándares más innovadores de protección de datos personales. Uno de ellos es el proyecto de ley de protección de datos en Argentina, que, a grandes rasgos, utiliza la base de principios (en su capítulo 2) y derechos (en su capítulo 3) del RGPD de la UE. La iniciativa presentaba puntos de discusión álgidos como las excepciones al consentimiento por motivaciones de “seguridad nacional” muy abiertas o justificaciones difusas para evitar notificar a las personas usuarias sobre el tratamiento de sus datos, así como la poca independencia que tendría la autoridad de control de protección de datos personales (Pisanu, 2018), sin embargo, se ha procurado corregirlas en versiones recientes del proyecto de Ley.

Otro proyecto que resulta de interés mencionar es el Proyecto de Ley de Orgánica de Protección de datos personales del Ecuador, que tiene como fin adecuar sus normas a los estándares europeos, motivados también por aspectos de comercio internacional, siendo que dicho país actualmente no cuenta con un marco regulatorio específico para la Protección de Datos Personales: “al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección, lo que desalienta el comercio y genera que se prefieran destinos como Colombia, Perú y los demás países suscriptores del acuerdo, que sí cuentan con Ley de Protección de Datos Personales”.

La orientación hacia la persona usuaria del proyecto de ley se puede observar en los principios que rigen el tratamiento (Capítulo II), los derechos que le asisten a las personas titulares de los datos (Capítulo III) y la especificidad de las normas de garantías para la seguridad y el tratamiento de los datos, así como las exigencias de responsabilidad proactiva que exigiría a las empresas y entidades que realicen algún tipo de tratamiento de datos personales.

Estas son legislaciones e iniciativas de la región que buscan ubicarse a la vanguardia de los estándares de protección de datos a nivel global, partiendo de los principios y derechos protegidos por la normativa europea, pero adaptándola a los contextos latinoamericanos y solventando oportunidades de mejora detectadas en el propio RGPD. Es en esta línea que se ha trabajado la presente propuesta legislativa.

La ley 8968: ¿cuáles son sus áreas de mejora?

Como se ha señalado, la Ley de Protección de Datos Personales que esta propuesta pretende remozar fue una legislación de avanzada en el momento de su aprobación, en 2011. Sin embargo, las primeras discusiones legislativas (que dan base a dicha legislación) datan de 2003. Esto, sumado al vertiginoso cambio tecnológico alrededor del tratamiento de datos personales -el cual hemos buscado sintetizar a lo largo de esta exposición de motivos-, definitivamente ha modificado las bases sobre las cuales una legislación robusta debería estar asentada.

Partiendo del contexto descrito, los referentes que se han analizado y la realidad institucional y nacional sobre protección de datos personales, se recogen a continuación los principales aspectos en los que se considera que la legislación costarricense tiene oportunidades de mejora.

1) Actualización de conceptos base utilizados en la legislación. Las nociones básicas a las cuales hace referencia la Ley vigente han sido superados en muchos casos. En algunas ocasiones, esto implicaría remozar conceptos ya empleados; en otras, añadir concepciones inexistentes en la legislación. Buenos ejemplos de esto son conceptos como “datos biométricos”, “datos genéticos” o “seudonimización”.

2) Desarrollo de los principios que rigen el tratamiento de datos personales, así como de los derechos que le asisten a las personas titulares. Teniendo como referente el RGPD de la Unión Europea, es evidente que los principios explicitados en la Ley nº 8968 son limitados y no generan un marco robusto para el tratamiento de datos en el país. Principios como la lealtad, la transparencia, la minimización de datos o la finalidad o conservación limitada son ejemplos de ello. Asimismo, los derechos que le asisten a la persona tienen múltiples áreas de mejora, en casos como el derecho de oposición, limitación del tratamiento, supresión, o la portabilidad.

3) Limitación tajante de las excepciones a la autodeterminación informativa de la persona interesada, y clarificación de las excepciones al consentimiento informado. Una de las áreas más relevantes de mejorar. Las excepciones a la autodeterminación informativa en la Ley vigente son excesivamente amplias y riesgosas para la ciudadanía, pues abren muchísimas posibilidades de disminuir la totalidad de garantías (y no solo el consentimiento informado) establecidas en la Ley, lo cual es urgente de limitar únicamente a casos determinados por Ley o por vía judicial. Por otro lado, las excepciones al consentimiento informado de la persona interesada, deben ser clarificados y establecidos de manera específica, cerrando el lugar a interpretación en la normativa.

4) Fortalecimiento institucional de la Autoridad Nacional, la Prodhab. Este fortalecimiento va en dos sentidos:

a) Dotar de independencia de criterio al órgano, mediante su traslado a un ámbito de la administración pública menos sujeta a determinaciones políticas coyunturales y

b) Robustecer presupuestariamente a la Prodhab a través de nuevos mecanismos de ingreso y una mayor flexibilidad en el uso de los recursos recaudados por cánones y multas.

5) Fortalecimiento de las garantías para la seguridad y la confidencialidad.

Implementar nuevas y mejores medidas preventivas, especialmente para tratamientos de datos de mayor riesgo. Entre los mecanismos que se podrían utilizar están robustecer los protocolos de actuación, los estudios de impacto o el requerimiento de una persona delegada de datos.

6) Fortalecimiento del esquema de sanciones. Actualización del esquema de sanciones de manera que esté acorde con la realidad económica del mercado de datos en la actualidad, bajo la premisa de que no sea más “rentable” para un ente responsable de tratamiento de datos, pagar multas que cumplir la ley.

7) Desarrollo de bases claras para la transferencia transfronteriza de datos. Establecer reglas nuevas bajo las cuales la Autoridad Nacional pueda determinar cuando es posible y válido realizar una transferencia de datos a otra jurisdicción, resguardando la integridad de los datos de las personas titulares de los mismos.

Respondiendo a las consideraciones de fortalecimiento de la Ley nº 8968, Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales arriba detalladas y con base en las consideraciones previamente expuestas, sometemos a su consideración la presente iniciativa de ley.

Bibliografía

AccessNow.org. (2018). La Creación de un Marco para la Protección de Datos: una guía para los Legisladores sobre qué hacer y qué no. https://www.accessnow.org/cms/assets/uploads/2018/04/manual-de-proteccion-de-datos.pdf

BBC Mundo. (2018, 21 marzo). Cambridge Analytica: Mark Zuckerberg reconoce que Facebook cometió errores en medio del peor escándalo que ha enfrentado la red social. de https://www.bbc.com/mundo/noticias-43484188

Bunse, S. (2021) Global Cyber Troops Country Profile: Costa Rica. LEAD University& Georgetown University. https://comprop.oii.ox.ac.uk/wp-content/uploads/sites/127/2021/01/Cyber-Troop-Costa-Rica-2020.pdf

Banco Interamericano de Desarrollo, BID. (2019). LA GESTIÓN ÉTICA DE LOS DATOS: Por qué importa y cómo hacer un uso justo de los datos en un mundo digital. https://publications.iadb.org/publications/spanish/document/La_Gesti%C3%B3n_%C3%89tica_de_los_Datos.pdf

Hans, B. C., & Bergés, A. (2014). Psicopolítica: neoliberalismo y nuevas técnicas de poder. Barcelona, España: Herder.

Harvey, D. (2013). Ciudades rebeldes. Tres Cantos: Akal.Graham-Harrison, E., & Cadwalladr, C. (2019, 21 junio). Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach. https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

Presidência da República, Brasil. (2019). Lei Geral de Proteção de Dados Pessoais (LGPD). https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

Valenzuela, S. & Arriagada, A. (2016). Viralizando la emoción y por qué la compartimos online. En A. Arriagada (ed.). El mundo en mi mano: La revolución de los datos móviles. Santiago: Fundación País Digital.

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO ÚNICO- Se reforma integralmente la Ley n° 8968, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales del 5 de setiembre de 2011, que en lo sucesivo dirá:

“LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

CAPÍTULO I. DISPOSICIONES GENERALES

SECCIÓN ÚNICA

ARTÍCULO 1.- Objetivo y fin

Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su autonomía personal con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona.

ARTÍCULO 2.- Ámbito de aplicación material

Esta ley será de aplicación al tratamiento de los datos personales, incluyendo la recopilación, el uso, la retención y análisis, por organismos públicos o privados.

El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas, siempre y cuando estas sean utilizadas con fines exclusivamente personales o domésticos y no sean vendidas o de cualquier otra manera comercializadas, incluyendo fines de prospección.

ARTÍCULO 3.- Ámbito de aplicación territorial

Esta ley se aplica en cualquiera de las siguientes circunstancias:

a) Cuando haya tratamiento de datos personales recopilados en territorio costarricense en el contexto de las actividades propias del responsable de la base de datos, independientemente de que dicho tratamiento tenga lugar en Costa Rica o no.

b) Cuando haya tratamiento de datos de personas que residan en la República de Costa Rica por parte de un responsable no establecido en el territorio costarricense, independientemente de si a las personas interesadas se les requiere su pago o no.

ARTÍCULO 4.- Definiciones

Para los efectos de la presente ley se define lo siguiente:

a) Base de datos: cualquier clase de fichero, que sea objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.

b) Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

c) Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

d) Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

e) Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

f) Fuentes de acceso público: Bases de datos que pueden ser consultadas por cualquier persona física o jurídica, pública o privada, nacional o internacional cuyo acceso no se encuentre limitado por la normativa vigente o disposición de la Autoridad de Protección de Datos Personales

g) Datos sensibles: Datos relativos a etnia, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, identidad de género, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos humanos o la dignidad e integridad de las personas. Los metadatos que identifiquen o hagan identificable a un ser humano, también formarán parte de este concepto, en la medida en que puedan dar origen a discriminaciones o vulneraciones de derechos humanos, y estarán definidos vía reglamentaria. Igualmente, por vía reglamentaria, la Autoridad de Protección de Datos Personales podrá determinar otras categorías de datos sensibles que no estén expresamente enumeradas en el listado de este inciso.

h) Datos de acceso restringido: todos los datos personales privados que no se consideren sensibles. Son de interés únicamente para su titular o para la Administración Pública. No son de acceso irrestricto independientemente de si forman o no parte de fuentes de acceso público o se encuentran en bases de datos de la Administración Pública.

i) Datos de acceso irrestricto: datos de acceso general, contenidos en bases de datos públicas, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

j) Deber de confidencialidad: obligación de los responsables del tratamiento de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aún después de finalizada la relación con la base de datos.

k) Encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

l) Fichero: todo conjunto estructurado de datos personales, manual o automatizado, accesible con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

m) Persona interesada: persona física titular de los datos que sean objeto del tratamiento, total o parcialmente automatizado o manual.

n) Responsable: persona física o jurídica, sea pública o privada, que administre, gerencie o se encargue de una base de datos, quién es competente para señalar, con arreglo a la ley, cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento se les aplicarán.

o) Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a la persona interesada sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

p) Tratamiento o procesamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos total o parcialmente automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

q) Grupo de interés económico: agrupación de sociedades que se manifiesta mediante una unidad de decisión, es decir, la reunión de todos los elementos de mando o dirección empresarial por medio de un centro de operaciones, y se exterioriza mediante dos movimientos básicos: el criterio de unidad de dirección, ya sea por subordinación o por colaboración entre empresas, o el criterio de dependencia económica de las sociedades que se agrupan, sin importar que la personalidad jurídica de las sociedades se vea afectada, o que su patrimonio sea objeto de transferencia, independientemente de su domicilio y razón social. Cuando la PRODHAB lo requiera la condición de grupo de interés económico podrá ser demostrada por medio de una declaración jurada protocolizada o documento legal equivalente de la jurisdicción del titular de la base de datos sin perjuicio de las facultades de investigación de la PRODHAB.

CAPÍTULO II. PRINCIPIOS Y DERECHOS PARA LA PROTECCIÓN DE DATOS PERSONALES

SECCIÓN I. PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE DATOS PERSONALES

ARTÍCULO 5.- Principio de lealtad y legalidad

Los datos personales deben ser procesados de manera justa y en apego a los límites de esta ley y el marco normativo vigente. Toda información deberá ser procesada con una base jurídica lícita, con un propósito definido, y de una manera justa y transparente. Las personas usuarias deberán ser informadas pertinentemente sobre cómo se recopilarán, usarán o almacenarán sus datos y quién lo hará.

ARTÍCULO 6- Principio de transparencia de la información

El responsable del tratamiento tomará las medidas oportunas para facilitar a la persona interesada todas las informaciones indicadas en esta Ley, así como cualquier comunicación relativa al tratamiento de datos personales, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a la población infantil.

La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite la persona interesada, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

ARTÍCULO 7.- Principio de finalidad y conservación limitadas

Los datos personales deberán ser recopilados y procesados sólo para fines determinados, explícitos y legítimos. El propósito para el que se procesan dichos datos debe ser explícito y no deberán ser conservados por más tiempo que el necesario para cumplir con ese fin. Los datos no deben ser procesados de una manera que sea incompatible con dicho propósito.

No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.

ARTÍCULO 8.- Principio de minimización de datos

Los datos personales procesados y recopilados deben limitarse a ser suficientes, pertinentes y no excesivos en relación con el propósito específico y definido previamente.

ARTÍCULO 9.- Principio de calidad de la información

Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento total o parcialmente automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados. Los usuarios deben tener el derecho a eliminar, rectificar, y corregir su información personal, la cual debe cumplir con las siguientes características:

a) Actualidad: Los datos de carácter personal deberán ser actuales. El responsable de las bases de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.

b) Veracidad: Los datos de carácter personal deberán ser veraces. La persona responsable de la base de datos está obligada a modificar o suprimir los datos que falten a la verdad.

c) Exactitud: Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos -del todo o en parte- o incompletos sean suprimidos de la base de datos o sustituidos por los correspondientes datos rectificados, actualizados o complementados, respetando los fines para los que fueron recogidos o tratados.

ARTÍCULO 10.- Principio de integridad y confidencialidad

Los datos personales deben ser procesados de manera que se garantice la seguridad e indemnidad de los mismos, así como la protección contra el tratamiento no autorizado o ilegítimo y contra la pérdida accidental, destrucción o daños de los datos. Para todo ello, se tomarán las medidas técnicas y organizacionales pertinentes que eviten vulnerabilidades en el acceso a dicha información.

ARTÍCULO 11.- Principio de gratuidad

Se establece el principio de gratuidad en el ejercicio de los derechos tutelados por la presente ley, para la persona que posea la titularidad de los datos personales o en el caso de la persona menor de edad, para su representante legal.

SECCIÓN II. DERECHOS DE LA PERSONA ANTE EL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO 12.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta ley.

Se reconoce la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones y datos concernientes a cada persona, cuya titularidad sobre los datos es exclusiva e irrenunciable. Este derecho es la manifestación de la protección a la intimidad, en el ámbito del tratamiento de datos personales, evitando que se propicien acciones discriminatorias o usos inadecuados de los mismos.

ARTÍCULO 13.- Consentimiento informado

Cuando se soliciten datos de carácter personal, la persona titular de los datos tiene derecho a ser informada de modo expreso, preciso e inequívoco de la posible recopilación y procesamiento de sus datos personales, como mínimo sobre los siguientes aspectos:

a) La existencia de una base de datos personales.

b) Las categorías de datos personales contenidas en la base.

c) Los fines que se persiguen con la recolección de estos datos y la base jurídica del tratamiento.

d) Los destinatarios de la información, así como de quiénes podrán consultarla.

e) El carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.

f) El tratamiento que se dará a los datos solicitados.

g) Las consecuencias de la negativa a suministrar los datos.

h) La posibilidad de ejercer los derechos que le asisten.

i) La identidad y datos de contacto del responsable de la base de datos.

j) El plazo durante el cual se conservarán los datos personales.

k) El derecho a presentar una reclamación ante las autoridades correspondientes.

l) La existencia o no de decisiones automatizadas, incluida la elaboración de perfiles.

Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible. No obstante, dependiendo del mecanismo utilizado para la recolección del Consentimiento Informado, la Autoridad de Protección de Datos Personales podrá autorizar formas simplificadas respecto de los contenidos de los aspectos señalados, siempre cuando la información quede a disposición del interesado, en el momento que éste haga requerimiento de la misma.

ARTÍCULO 14.- Otorgamiento del consentimiento

Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar en forma expresa, ya sea en un medio físico o electrónico. El consentimiento podrá ser revocado en cualquier momento, sin efecto retroactivo.

ARTÍCULO 15.- Excepciones al consentimiento informado

No será necesario el consentimiento expreso:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

c) Para la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) Para el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, o para la adecuada prestación de servicios públicos, siempre que los datos se hayan anonimizado previamente y no exista riesgo de que las personas sean identificadas.

e) Cuando el tratamiento sea necesario para la ejecución de un contrato solicitado por la persona titular. O bien, para la aplicación de un contrato en el que el interesado es parte.

f) Cuando es necesario el tratamiento para proteger intereses vitales de la persona interesada o de otra persona física, si la persona interesada no está capacitada, física o jurídicamente, para dar su consentimiento.

g) Cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Se prohíbe en todo caso el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.

ARTICULO 16. – Condiciones aplicables al consentimiento de la persona menor de edad en relación con los servicios de la sociedad de la información

Cuando se apliquen los principios relativos al consentimiento informado en relación con la oferta directa a personas menores de edad de servicios de la sociedad de la información, el tratamiento de los datos personales de una persona menor de edad se considerará lícito cuando tenga como mínimo 15 años. Si es menor de 15 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo autorizó el titular de la patria potestad o tutela sobre el niño o la niña, y solo en la medida en que se dio o autorizó.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño o la niña, teniendo en cuenta la tecnología disponible.

ARTÍCULO 17.- Excepciones a la Autodeterminación Informativa

Los derechos y las garantías establecidos en esta ley podrán ser limitados en las siguientes circunstancias:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

ARTÍCULO 18.- Derecho de acceso a los datos personales

Las personas usuarias deberán tener derecho de acceso a los datos recopilados, el propósito del procesamiento y a conocer quiénes los procesarán en cualquier momento. La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.

La persona responsable del tratamiento de los datos debe facilitar la información que la persona solicite, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.

Las entidades deben brindar su información de contacto y una dirección de correo electrónico a las personas usuarias para que estas puedan comunicarse con ellos en caso de que existan problemas.

El derecho de acceso a la información personal garantiza las siguientes facultades de la persona interesada:

a) Obtener en intervalos razonables, según se disponga por reglamento, sin demora y a título gratuito, lo siguiente: confirmación o no de la existencia de datos suyos en archivos o bases de datos, el propósito por el que se procesan, destinatarios o personas autorizadas, origen de la recolección de datos, categoría de datos procesados, plazo previsto de conservación, si los datos están siendo utilizados para la toma de decisiones automáticas o si los mismos están siendo transmitidos a terceros países.

b) En caso de que existan datos o información relativa a su persona, estos le deberán ser comunicados y brindados en forma precisa, entendible, de fácil acceso y con lenguaje simple y claro. Además, la persona interesada también podrá saber la finalidad con que fueron recopilados los datos y el uso que se les ha dado, bien hayan sido recopilados de manera directa o a través de terceros. El informe deberá ser completo y exento de codificaciones. Deberá estar acompañado de una aclaración de los términos técnicos que se utilicen.

c) Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.

El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

ARTÍCULO 19.- Derecho a la explicación

Las personas interesadas tienen derecho a una explicación sobre las lógicas y mecanismos empleados, además de los fines y las consecuencias, para el procesamiento automatizado de los datos personales que hayan sido recopilados.

Dentro de esta explicación estará incluido todo algoritmo cuyo diseño o programación pueda tener un impacto en el destino o uso de los datos recopilados, y de ser solicitado será incluido dentro de los reportes requeridos por las personas usuarias sobre el tratamiento de sus datos.

ARTÍCULO 20.- Derecho de oposición

La persona usuaria podrá oponerse al procesamiento de sus datos personales, si no ha mediado su consentimiento para ello, o no lo ha expresado o aceptado por escrito de forma física o digital. En cualquier momento, el titular de los datos personales puede oponerse a la utilización de sus datos para la toma de decisiones automáticas, parcialmente automáticas o fines de mercadotecnia directa, incluido el análisis de perfiles.

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, con la excepciones que por efecto de esta ley resulten de aplicación.

ARTÍCULO 21. – Derecho a la limitación del tratamiento

La persona interesada podrá solicitar del responsable la suspensión de todo tratamiento de sus datos personales, reservando los mismos en el estado que se encontraban al momento de surgir los hechos objeto de la solicitud, cuando se cumpla alguna de las siguientes condiciones:

a) La persona interesada impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.

b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.

c) El responsable ya no necesita los datos personales para los fines del tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

ARTÍCULO 22.- Derecho de rectificación

La persona interesada tendrá el derecho de obtener la rectificación o actualización de sus datos personales, cuando los datos en poder del responsable del tratamiento estén incompletos, desactualizados o sean inexactos.

Dicha rectificación o actualización puede ser solicitada en cualquier momento por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o las personas sin capacidad volitiva o cognoscitiva.

En el caso de datos de personas fallecidas, les corresponderá este derecho a sus          sucesores o herederos.

ARTÍCULO 23.- Derecho de supresión

La persona interesada tiene derecho a la supresión de sus datos y cualquier información vinculada a su persona al momento en que suspenda el uso de un servicio o aplicación que haya originado la recopilación de los datos. El responsable del tratamiento deberá garantizar la confidencialidad respecto a esa información posterior a la eliminación. Igual derecho tendrá, cuando hayan sido recopilados sin su autorización.

El derecho de supresión no podrá ser ejercido cuando el tratamiento de los datos sea necesario para ejercer el derecho a la libertad de expresión, la libertad de prensa e información, lo cual incluye las expresiones periodísticas, académicas, artísticas o literarias, de archivo o de investigación científica.

Dicha supresión puede ser solicitada por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o sin capacidad volitiva o cognoscitiva. En el caso de datos de personas fallecidas, les corresponderá este derecho a sus sucesores o herederos.

Igualmente, la persona interesada podrá solicitar la supresión de sus datos personales, cuando medie y legalmente proceda, el retiro del consentimiento informado otorgado al efecto del tratamiento.

ARTÍCULO 24.- Derecho a la portabilidad

Las personas titulares de los datos podrán solicitar el traslado de sus datos personales, o parte de ellos, hacia la base de otra empresa, plataforma o ente prestador de servicios cuando sea técnicamente posible, posibilidad que determinará la autoridad competente. Para ello se deberán salvaguardar los principios y derechos reconocidos en esta ley.

ARTÍCULO 25.- Autorización para la transferencia de datos

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

SECCIÓN III. CATEGORÍAS PARTICULARES DE DATOS PERSONALES

ARTÍCULO 26.- Prohibición del tratamiento de datos sensibles

Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual de una persona física o cualquier otro dato sensible.

ARTÍCULO 27.- Circunstancias de no aplicabilidad de la prohibición de tratamiento de datos sensibles

El artículo anterior no será de aplicación cuando concurra una de las circunstancias siguientes:

a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando en la legislación costarricense se establezca que la prohibición mencionada no puede ser levantada por el interesado;

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, de la seguridad social o ayudas sociales, en la medida en que así lo autorice el marco normativo costarricense y establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

f) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

g) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de la legislación costarricense, que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

h) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

ARTÍCULO 28.- Datos personales de acceso restringido

Los datos de acceso restringido son todos aquellos datos personales de índole privado que no sean considerados sensibles. Son susceptibles de ser tratados en los términos que esta ley especifica. Si bien estos datos podrían formar parte de bases datos de la Administración Pública o de fuentes de acceso público, no por ello son considerados de acceso irrestricto, debido a que son de interés únicamente para su titular o para la Administración Pública.

SECCIÓN IV. SEGURIDAD Y CONFIDENCIALIDAD DEL TRATAMIENTO DE LOS DATOS

ARTÍCULO 29.- Seguridad de los datos por diseño y por defecto

La persona responsable de la base de datos deberá adoptar las políticas internas y tomar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cumplir con los principios de esta ley y evitar cualquier acción contraria a la misma.

Dichas políticas y medidas se tomarán desde el diseño y el desarrollo de cualquier aplicación, servicio o producto basado en el tratamiento de datos personales o que tratan datos personales para cumplir su función, y deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual para garantizar la protección de la información almacenada.

Además, deberán reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento y permitir a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad.

No se registrarán datos personales en bases que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas. Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos. Estos principios se tendrán en cuenta para el tratamiento de datos tanto a nivel privado como público, sea o no con fines de lucro.

ARTÍCULO 30.- Deber de confidencialidad

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevada del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

ARTÍCULO 31.- Estudios de impacto

Para aquellas operaciones de tratamiento de datos que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional, que podrían afectar a un gran número de interesados o podrían entrañar un alto riesgo, sea por su alcance, por la sensibilidad de los datos a tratar o por la dificultad para los interesados de hacer cumplir sus derechos, deberá realizarse previamente un estudio de impacto del tratamiento de datos por parte de la persona responsable del tratamiento.

El estudio de impacto deberá valorar la probabilidad y alcance de los riesgos, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Además debe incluir las medidas, garantías y mecanismos previstos para mitigar dichos riesgos, garantizar la protección de los datos personales y demostrar la conformidad con la presente ley.

Las características específicas de dichos estudios serán determinadas vía reglamento. La Autoridad de Protección de Datos determinará cuáles operaciones de tratamiento de datos requerirán dichos estudios al momento de su registro.

ARTÍCULO 32.- Protocolos de actuación

Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales, deberán emitir un protocolo de actuación en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley.

Los protocolos de actuación deberán ser inscritos, así como sus posteriores modificaciones, ante la Prodhab. La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos de su protocolo.

La manipulación de datos con base en un protocolo de actuación inscrito ante la Prodhab hará presumir, “iuris tantum”, el cumplimiento de las disposiciones contenidas en esta ley, para los efectos de autorizar la cesión de los datos contenidos en una base.

ARTÍCULO 33.- Vulneración de Datos Personales.

El responsable deberá informar tanto al titular como a la PRODHAB, sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, pérdida de los mismos, destrucción, extravío, alteración o similares, como consecuencia de una vulnerabilidad de la seguridad de la cual entrará en conocimiento, para lo cual tendrá cinco días hábiles a partir del momento en que se conoció la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

La información mínima que deberá proveerse será:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata y las que serán tomadas;

d) Los medios o el lugar, donde puede obtener más información al respecto.

ARTÍCULO 34.- Persona Delegada de Protección de Datos

Si la Autoridad de Protección de Datos determina que la operación de tratamiento presenta altos riesgos para la integridad de los datos personales, el responsable del tratamiento deberá designar a una persona delegada de protección de datos.

Dicha persona delegada velará por el cumplimiento legal de la normativa atinente y deberá contar con capacidades y competencias profesionales para responder ante las autoridades. El rol podrá ser asumido por una persona a lo interno de la institución u organización, o por un tercero.

Reglamentariamente se establecerán los requisitos para las personas delegadas, así como los criterios para definir en qué operaciones de tratamiento será necesaria su existencia.

ARTÍCULO 35.- Códigos de conducta

La Agencia de Protección de Datos de los Habitantes, el gobierno central, las instituciones públicas, entes gremiales, asociaciones y empresas privadas, deberán promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación de la presente Ley, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas, las pequeñas y medianas empresas.

ARTÍCULO 36.- Garantías efectivas

Toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales o específicas que la ley establezca para este mismo fin.

CAPÍTULO III. AGENCIA DE PROTECCIÓN DE DATOS DE LOS HABITANTES (PRODHAB)

SECCIÓN I. DISPOSICIONES GENERALES

ARTÍCULO 37.- Agencia de Protección de Datos de los Habitantes (Prodhab)

Se crea la Agencia de Protección de Datos de los Habitantes (PRODHAB), como un órgano adscrito al Poder Legislativo de la República y que desempeñará sus funciones con absoluta independencia funcional, administrativa, técnica, presupuestaria y de criterio. Tendrá personalidad jurídica propia en el desempeño de las funciones que le asigna esta ley.

ARTÍCULO 38.- Atribuciones

Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:

a) Velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.

b) Llevar un registro de las bases de datos reguladas por esta ley.

c) Requerir, de quienes administren bases de datos, las informaciones necesarias para el ejercicio de su cargo.

d) Acceder a las bases de datos reguladas por esta ley, a efectos de hacer cumplir efectivamente las normas sobre protección de datos personales.

Esta atribución se aplicará para los casos concretos presentados ante la Agencia y cuando se tenga evidencia de un mal manejo generalizado de la base de datos o sistema de información y, para la realización de investigaciones sobre la aplicación de la presente ley.

e) Resolver sobre los reclamos por infracción a las normas sobre protección de los datos personales.

f) Ordenar, de oficio o a petición de parte, el acceso, rectificación, supresión, explicación, portabilidad, olvido u oposición, en el tratamiento de las informaciones contenidas en los archivos y las bases de datos, cuando éstas contravengan las normas sobre protección de los datos personales.

g) Imponer las sanciones establecidas, en esta ley, a las personas físicas o jurídicas, públicas o privadas, que infrinjan las normas sobre protección de los datos personales, y dar traslado al Ministerio Público de las que puedan configurar delito.

h) Promover y contribuir en la redacción de normativa tendiente a implementar las normas sobre protección de los datos personales.

i) Dictar las directrices necesarias, las cuales deberán ser publicadas en el diario oficial La Gaceta, a efectos de que las instituciones públicas implementen los procedimientos adecuados respecto del manejo de los datos personales, respetando los diversos grados de autonomía administrativa e independencia funcional.

j) Fomentar entre los habitantes el conocimiento de los derechos concernientes al acopio, el almacenamiento, la transferencia y el uso de sus datos personales.

k) Brindar asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley, tanto a entes del sector público como el privado, para lo cual quedará habilitada a la venta de servicios, cuyo costo se establecerá mediante un tarifario de publicación y actualización periódica. Los precios de dicho tarifario deberán demostradamente estar acordes con los valores del mercado.

En el ejercicio de sus atribuciones, la Prodhab podrá emplear procedimientos automatizados, de acuerdo con las mejores herramientas tecnológicas a su alcance.

ARTÍCULO 39.- Dirección de la Agencia

La Dirección de la Prodhab estará a cargo de un director o una directora nacional, quien deberá contar, al menos, con el grado académico de licenciatura en una materia afín al objeto de su función, ser de reconocida solvencia profesional y moral, y tener comprobada experiencia y conocimiento en la materia de protección de datos personales.

El término de su nombramiento será por un período de hasta 4 años. En caso de declararse la vacancia, según lo dispuesto en este capítulo, la designación de la persona sustituta no podrá hacerse por un término mayor al que faltare para completar el período respectivo. Podrá ser reelecta por una única ocasión de forma continua.

No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.

ARTÍCULO 40.- Proceso de nombramiento de la Dirección

La persona directora será nombrada por la Asamblea Legislativa. Para dicho nombramiento, la Asamblea anunciará el concurso de forma pública y podrá recibir postulaciones de cualquier persona que cumpla con los requisitos establecidos en esta Ley. La Comisión de Nombramientos definirá un procedimiento para estudiar dichas postulaciones, el cual deberá garantizar el cumplimiento de dichos requisitos, además de determinar mediante calificaciones objetivas la idoneidad y conocimiento de las diferentes personas candidatas. Al concluir dicho procedimiento, recomendará una terna de personas postulantes al Plenario.

El Plenario Legislativa elegirá, mediante votación pública y con mayoría absoluta, a la persona que dirigirá a la Prodhab. El Plenario podrá no apegarse a la recomendación emitida por la Comisión solamente de entre las personas postulantes.

ARTICULO 41.- Juramentación.

La persona directora de la Prodhab debe rendir el juramento previsto en el artículo 194 de la Constitución Política ante el Plenario de la Asamblea antes de iniciar sus labores en el cargo.

ARTICULO 42.- Causas de cesación.

La persona directora de la Prodhab de la República cesará en sus funciones, por cualquiera de las siguientes causales:

a) Renuncia a su cargo.

b) Muerte o incapacidad sobreviniente

c) Negligencia notoria o por violaciones graves al ordenamiento jurídico en el cumplimiento de los deberes de su cargo

d) Incurrimiento en cualquiera de las incompatibilidades previstas en esta Ley

e) Haber sido condenado, en sentencia firme, por delito cometido en forma dolosa.

La Asamblea Legislativa debe declarar vacante el cargo de la Dirección Nacional de la Prodhab, cuando se presente una de las causales previstas en los incisos a), b), d) y e) del presente artículo.

En el caso del inciso c), la Presidencia Legislativa nombrará una Comisión que le dará audiencia a la persona directora e informará a la Asamblea Legislativa, el resultado de la investigación, en el término de quince días hábiles.

ARTÍCULO 43.- Dirección Adjunta

La Asamblea Legislativa nombrará una persona como Director o Directora Adjunta, de una lista de tres candidatos propuestos por la persona Directora Nacional, a más tardar un mes después de su nombramiento. Quien ocupe la Dirección Adjunta deberá reunir los mismos requisitos exigidos para el cargo titular y estará sometido a las mismas prohibiciones y disposiciones que esta ley impone a ese cargo.

La personas elegida en este cargo será colaborador directo del Director Nacional de la PRODHAB; cumplirá las funciones que éste le asigne y lo sustituirá en sus ausencias temporales.

ARTÍCULO 44.- Personal de la Agencia

La Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, designado mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien como se disponga reglamentariamente. El personal está obligado a guardar secreto profesional y deber de confidencialidad de los datos de carácter personal que conozca en el ejercicio de sus funciones.

ARTÍCULO 45.- Prohibiciones para las personas funcionarias

Todas las personas funcionarias de la Prodhab tendrán las siguientes prohibiciones:

a) Prestar servicios a las personas o empresas que se dediquen al acopio, el almacenamiento, o el manejo de datos personales. Dicha prohibición persistirá hasta dos años después de haber cesado sus funciones.

b) Involucrarse, personal e indebidamente, en asuntos conocidos en el marco de las funciones de la Agencia.

c) Revelar o de cualquier forma propalar los datos personales a que ha tenido acceso con ocasión de su cargo. Esta prohibición persistirá indefinidamente aun después de haber cesado en su cargo.

d) En el caso de los funcionarios y las funcionarias nombrados en plazas de profesional, ejercer externamente su profesión. Lo anterior tiene como excepción el ejercicio de la actividad docente en centros de educación superior o la práctica liberal a favor de parientes por consanguinidad o afinidad hasta el tercer grado, siempre que no se esté ante el supuesto del inciso a).

La inobservancia de cualquiera de las anteriores prohibiciones será considerada falta gravísima, para efectos de aplicación del régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que tales conductas pudieran acarrear.

ARTÍCULO 46.- Presupuesto

El presupuesto de la Prodhab estará constituido por lo siguiente:

a) Los cánones, las tasas y los derechos obtenidos en el ejercicio de sus funciones.

b) Las transferencias que el Estado realice a favor de la Agencia.

c) Las donaciones y subvenciones provenientes de otros Estados, instituciones públicas nacionales u organismos internacionales, siempre que no comprometan la independencia, transparencia y autonomía de la Agencia.

d) Lo generado por sus recursos financieros.

e) Lo generado por la venta de servicios de asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley.

Los montos provenientes del cobro de las multas señaladas en esta ley serán destinados a gastos de capital de la Prodhab.

La Agencia estará sujeta al cumplimiento de los principios y al régimen de responsabilidad establecidos en los títulos II y X de la Ley n.° 8131, Administración Financiera de la República y Presupuestos Públicos, de 18 de septiembre de 2001.

Además, deberá proporcionar la información requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a la Agencia de los alcances y la aplicación de esa ley. En la fiscalización, la Agencia estará sujeta, únicamente, a las disposiciones de la Contraloría General de la República.

SECCIÓN II. REGISTRO DE ARCHIVOS Y BASES DE DATOS

ARTÍCULO 47.- Registro de archivos y bases de datos

Toda base de datos, pública o privada, debe inscribirse en el registro que al efecto habilite la Prodhab, exceptuando aquellas sin fines comerciales administradas por personas físicas. La inscripción no implica el traspaso o la transferencia de los datos.

La Prodhab definirá, al momento del registro y de acuerdo a la envergadura, características y riesgos del tratamiento de datos que se realizará, si la persona responsable de la base de datos deberá cumplir, y en qué medida, con lo dispuesto en el capítulo II, Sección IV de esta Ley, respecto a Estudios de impacto, Protocolo de Actuación y la Persona Delegada de protección de datos. Los criterios y plazos para dicho cumplimiento se establecerán en lineamientos que al respecto confeccionará y revisará periódicamente la Prodhab.

CAPÍTULO V. PROCEDIMIENTOS

SECCIÓN I. NORMAS DE PROCEDIMIENTO

ARTÍCULO 48.- Legitimación para denunciar

Cualquier persona, grupo de personas u organismos debidamente habilitados para representar personas que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada se encuentra en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley.

ARTÍCULO 49.- Trámite de las denuncias

Todo procedimiento ordinario se regirá por el Libro Segundo de la Ley General de la Administración Pública, sin perjuicio de las regulaciones específicas que se puedan establecer vía el reglamento.

En cualquier momento, la Prodhab podrá ordenar a la persona denunciada la presentación de la información necesaria. Asimismo, podrá efectuar inspecciones in situ en sus archivos o bases de datos. Para salvaguardar los derechos de la persona o del grupo de personas interesadas, puede dictar, mediante acto fundado, las medidas cautelares que aseguren el efectivo resultado del procedimiento.

ARTÍCULO 50.- Efectos de la resolución estimatoria

Si se determina que la información del interesado es falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre protección de datos personales esta fue indebidamente recolectada, almacenada o difundida, deberá ordenarse su inmediata supresión, rectificación, adición o aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.

SECCIÓN II. RÉGIMEN SANCIONATORIO

ARTÍCULO 51.- Procedimiento sancionatorio

De oficio o a instancia de parte, la Prodhab podrá iniciar un procedimiento tendiente a demostrar si un tratamiento de datos personales regulado por esta ley está siendo empleado de conformidad con sus principios; para ello, deberán seguirse los trámites previstos en la Ley General de la Administración Pública para el procedimiento ordinario.

ARTÍCULO 52.- Faltas leves

Las faltas leves, señaladas en este artículo, se sancionarán con multas administrativas de hasta de diez salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República como máximo o, si se trata de una empresa, con una multa equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas leves, para los efectos de esta ley:

a) Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones indicadas en esta ley.

b) Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

ARTÍCULO 53.- Faltas graves

Las faltas graves, señaladas en este artículo, se sancionarán con multas administrativas de entre diez y cuarenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas graves, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.

b) Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley.

c) Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

d) Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

e) Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Artículo 54. – Faltas gravísimas

Las faltas gravísimas, señaladas en este artículo, se sancionarán con multas administrativas de entre treinta y sesenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 6% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas gravísimas, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de esta ley.

b) Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

c) Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.

d) Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

e) Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta ley.

f) Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

Artículo 55.- Criterios para establecer la sanción

Para tomar una determinación sancionatoria, el tipo de sanción y su cuantía, la Prodhab deberá considerar los siguientes criterios, sin perjuicio de valorar las infracciones de manera acumulativa:

a. Naturaleza de la infracción: número de personas afectadas, daños sufridos, duración de la infracción y propósito del procesamiento, infracción leve, grave o gravísima.

b. Intención: si la infracción es intencional o debido a negligencia

c. Mitigación: acciones tomadas para mitigar el daño a las personas interesadas

d. Medidas preventivas: cuánta preparación técnica y organizativa había implementado previamente la empresa para evitar el incumplimiento

e. Reincidencia: Posibles infracciones anteriores, incluido advertencias y multas relacionadas a similares u otras infracciones en área de seguridad digital, privacidad y protección de datos.

f. Cooperación: cuán cooperativa ha sido la empresa con la autoridad supervisora para remediar la infracción.

g. Tipo de datos afectados: qué tipos de datos impactado por la infracción.

h. Notificación: si la infracción fue notificada proactivamente a la autoridad supervisora por la propia empresa o un tercero.

SECCIÓN III. PROCEDIMIENTOS INTERNOS

ARTÍCULO 56.- Régimen sancionatorio para bases de datos públicas

Cuando la persona responsable de una base de datos pública cometa alguna de las faltas anteriores, la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.

CAPÍTULO VI. CÁNONES

ARTÍCULO 57.- Canon por regulación y administración de bases de datos

Las bases de datos que deban inscribirse ante la Prodhab, de conformidad con el artículo 41 de esta ley, estarán sujetas a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto de trescientos dólares ($300), moneda de curso legal de los Estados Unidos de América, canon que se actualizará anualmente con base en el índice de valuación determinado por el comportamiento de la tasa de inflación (índice de precios al consumidor que calcula la Dirección General de Estadística y Censos).

Podrán eximirse del pago de este canon aquellas bases de datos utilizadas a lo interno de empresas o instituciones públicas, cuando sean utilizadas con fines exclusivamente administrativos y sin fines de comercialización, y así se demuestre ante la Prodhab.

También podrán eximirse de dicho pago las bases de datos utilizadas por organizaciones sin fines de lucro (como fundaciones, sindicatos, asociaciones, organizaciones religiosas, entre otras), cuando demuestren que la finalidad de la base no es de ninguna índole comercial o de lucro.

La exención de este pago no les excluye del cumplimiento de esta ley en todos sus alcances, incluidos los pagos producto de infracciones a la Ley. Quedan a salvo aquellas excepciones que se puedan aplicar puntualmente. El procedimiento para realizar el cobro del presente canon será detallado en el reglamento que a los efectos deberá emitir la Prodhab.

ARTÍCULO 58.- Canon por comercialización de consulta

La persona responsable de la base de datos deberá cancelar a la Prodhab un canon por cada venta de los datos de ficheros definidos en el inciso l) del artículo 4 de esta ley, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.

CAPÍTULO VI. TRANSFERENCIA TRANSFRONTERIZA DE DATOS PERSONALES

SECCIÓN ÚNICA. DE LAS TRANSFERENCIAS

ARTÍCULO 59.- Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones de la presente Ley, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

ARTÍCULO 60.- Transferencias basadas en un procedimiento de adecuación

Podrá realizarse una transferencia de datos personales a un tercer país u                     organización internacional cuando la PRODHAB, haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

Al evaluar la adecuación del nivel de protección, la PRODHAB tendrá en cuenta, en particular, los siguientes elementos:

a) El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos; y,

b) La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros,

ARTÍCULO 61.- Transferencias mediante garantías adecuadas

A falta de una autorización de la PRODHAB, por vía de un Procedimiento de Adecuación, el responsable o el encargado del tratamiento sólo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Las garantías adecuadas podrán ser aportadas, por:

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b) Convenios empresariales suscritos que expresamente reconozcan todos los derechos y obligaciones establecidos en la presente Ley, y se sujeten a la competencia de la Agencia de Protección de Datos de los Habitantes, para la debida protección de los datos personales en todos los alcances previstos por la presente normativa, respecto del tratamiento realizado fuera del ámbito de competencia territorial.

Esta norma aplicará en igual sentido, bajo el concepto de Grupo de Interés Económico, en los términos que establece la presente Ley.

ARTÍCULO 62.- Excepciones para situaciones específicas

En ausencia de una autorización producto de un Procedimiento de Adecuación o de Garantías Adecuadas, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:

a) El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d) La transferencia sea necesaria por razones de interés público comprobado consistentemente;

e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento

TRANSITORIOS

TRANSITORIO I.

Las personas físicas o jurídicas, públicas o privadas, propietarias o administradoras de las bases de datos objeto de esta ley, deberán adecuar sus procedimientos, protocolos, contenidos de bases de datos y reglas de actuación a lo estipulado en la presente reforma, en un plazo máximo de un año.

TRANSITORIO II.

El Poder Ejecutivo adecuará el reglamento a la Ley nº 8968 previamente existente de acuerdo a los lineamientos establecidos en la presente reforma, en un plazo máximo de seis meses después de su entrada en vigencia, recogiendo las recomendaciones técnicas y legales que la Prodhab le proporcione.

TRANSITORIO III.-

Por un período de 8 años a partir de la entrada en vigencia de esta Ley, la Asamblea Legislativa dispondrá que se otorgue al menos un 5% de crecimiento anual a las transferencias que realiza el Estado a la Agencia, con el objetivo de fortalecer su labor de fiscalización, de realización de auditorías de oficio y de cobro de multas por infracciones a Ley nº 8968.

Rige a partir de su publicación.

ENRIQUE SÁNCHEZ CARBALLO

CATALINA MONTERO GÓMEZ

WELMER RAMOS GONZÁLEZ

LUIS RAMÓN CARRANZA CASCANTE

PAOLA VIVIANA VEGA RODRÍGUEZ

CAROLINA HIDALGO HERRERA

NIELSEN PÉREZ PÉREZ

LAURA GUIDO PÉREZ

MARIO CASTILLO MÉNDEZ

VICTOR MANUEL MORALES MORA

17Jun/15

Ley nº 20.575 finalidad en el tratamiento de datos personales

LEY NÚM. 20.575.-  ESTABLECE EL PRINCIPIO DE FINALIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente proyecto de ley, iniciado en una Moción de los Diputados señores Felipe Harboe Bascuñán; Pedro Browne Urrejola; Juan Luis Castro González; Joaquín Godoy Ibáñez; Carlos Abel Jarpa Wevar; Pablo Lorenzini Basso; Marco Antonio Núñez Lozano; Ricardo Rincón González; Joaquín Tuma Zedan, y señora Alejandra Sepúlveda Orbenes.

Proyecto de ley:

     «Artículo 1º.– Respecto al tratamiento de datos personales de carácter económico, financiero, bancario o comercial a que se refiere el Título III de la ley N° 19.628, sobre Protección de la Vida Privada, deberá respetarse el principio de finalidad en el tratamiento de datos personales, el que será exclusivamente la evaluación de riesgo comercial y para el proceso de crédito.
La comunicación de esta clase de datos sólo podrá efectuarse al comercio establecido, para el proceso de crédito, y a las entidades que participen de la evaluación de riesgo comercial y para ese solo fin.
En ningún caso se podrá exigir esta información en los procesos de selección personal, admisión pre-escolar, escolar o de educación superior, atención médica de urgencia o postulación a un cargo público.

Artículo 2º.– Para efectos de esta ley, se entiende que son distribuidores de información de carácter económico, financiero, bancario o comercial, las personas naturales o jurídicas que realizan directamente el tratamiento, comunicación y comercialización de los datos de obligaciones económicas, de conformidad con lo dispuesto en la legislación vigente y con pleno respeto a los derechos de los titulares de los datos.

Artículo 3º.– Los responsables de los bancos de datos y los distribuidores de los registros o bancos de datos personales a que se refiere esta ley deberán, en el desarrollo de su actividad, implementar los principios de legitimidad, acceso y oposición, información, calidad de los datos, finalidad, proporcionalidad, transparencia, no discriminación, limitación de uso y seguridad en el tratamiento de datos personales, cuestión que deberá ser considerada por el juez como un antecedente para determinar si existió la debida diligencia en el tratamiento de datos personales. Corresponderá al distribuidor o responsable de los registros o bancos de datos probar ante el juez que dio cumplimiento a las obligaciones impuestas por el presente artículo y que actuó con la debida diligencia en el tratamiento de los datos respectivos.
Los distribuidores de los registros o bancos de datos de carácter económico, financiero, bancario o comercial, deberán contar con un sistema de registro del acceso y entrega de estos antecedentes, individualizando el nombre de quien los ha requerido, el motivo, la fecha y la hora de la solicitud, así como el responsable de la entrega o cesión de la información. Los titulares de la información comercial tendrán derecho a solicitar cada cuatro meses y en forma gratuita la información consignada en dicho sistema durante los últimos doce meses.

Artículo 4º.- Los distribuidores de los registros o bancos de datos personales de carácter económico, financiero, bancario o comercial, deberán designar a una persona natural encargada del tratamiento de datos, de manera que los titulares de datos puedan acudir ante él para los efectos de hacer efectivos los derechos que les reconoce la ley N° 19.628, sobre Protección de la Vida Privada.

Artículo 5º.- En caso que el titular de los datos personales de carácter económico, financiero, bancario o comercial, requiera presentar información contenida en los registros o bancos de datos a que se refiere esta ley para fines diferentes a la evaluación de riesgo en el proceso de crédito, podrá solicitar al responsable de éstos una certificación para fines especiales, el que deberá entregarla considerando únicamente las obligaciones vencidas y no pagadas que consten en él.

Artículo 6º.- Las infracciones a las normas de la presente ley se conocerán y sancionarán en conformidad a lo dispuesto en la ley N° 19.628, sobre Protección de la Vida Privada.

Artículo 7º.- Modifícase el artículo 17 de la ley N° 19.628, sobre Protección de la Vida Privada, en los siguientes términos:

a) Intercálase, en su inciso primero, a continuación de la palabra «usuarios», la siguiente frase final: «, y la información relacionada con obligaciones de carácter económico, financiero, bancario o comercial en cuanto hayan sido repactadas, renegociadas o novadas, o éstas se encuentren con alguna modalidad pendiente».

b) Agrégase, en su inciso segundo, a continuación del vocablo «gas», lo siguiente: «; tampoco podrán comunicarse las deudas contraídas con concesionarios de autopistas por el uso de su infraestructura».

Artículo 8º.- Agrégase, en el artículo 141 del decreto con fuerza de ley Nº 1, de 2006, del Ministerio de Salud, que fija el texto refundido, coordinado y sistematizado del decreto ley Nº 2.763, de 1979, y de las leyes Nos 18.933 y 18.469, el siguiente inciso final, nuevo:

«Con todo, los prestadores de salud no podrán consultar sistemas de información comercial de ningún tipo, ni aun con el consentimiento del paciente, para efectos de condicionar o restringir una atención de urgencia.».

Disposiciones transitorias

     Artículo primero.- Lo dispuesto en el inciso segundo del artículo 3° de esta ley, entrará en vigencia transcurrido el plazo de seis meses, contado desde su publicación en el Diario Oficial.

Artículo segundo.- Los responsables de los registros o bancos de datos personales que traten información de carácter económico, financiero, bancario o comercial a que se refiere el Título III de la ley Nº 19.628, sobre Protección de la Vida Privada, no podrán comunicar los datos relativos a dichas obligaciones cuando se hayan hecho exigibles antes del 31 de diciembre de 2011 y se encuentren impagas, siempre que el total de obligaciones impagas del titular que comunique el registro o banco de datos a la fecha de publicación en el Diario Oficial de esta ley sea inferior a $2.500.000 por concepto de capital, excluyendo intereses, reajustes o cualquier otro rubro.
En el caso del inciso anterior, tampoco podrá proporcionar información al titular de los datos, ni comunicar el hecho de que éste haya sido beneficiado con esas disposiciones.».

Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.
Santiago, 14 de febrero de 2012.

SEBASTIÁN PIÑERA ECHENIQUE, Presidente de la República.

Pablo Longueira Montes, Ministro de Economía, Fomento y Turismo.

Felipe Larraín Bascuñán, Ministro de Hacienda.

Cristián Larroulet Vignau, Ministro Secretario General de la Presidencia.

Jaime Mañalich Muxi, Ministro de Salud.
Lo que transcribe para su conocimiento.

Saluda atentamente a usted, Christian Delso Sepúlveda, Subsecretario (S) de Economía y Empresas de Menor Tamaño.