El Reglamento eIDAS se propone reforzar la confianza en las transacciones electrónicas en el mercado interior, proporcionando una base común para lograr interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas e incrementando, en consecuencia, la eficacia de los servicios on line públicos y privados, los negocios electrónicos y el comercio electrónico en la UE.
Este Reglamento es consecuencia de la constatación de los problemas de interoperación de las firmas y certificados electrónicos emitidos dentro de la UE. En el mundo de los documentos de identificación emitidos por los Estados miembros, se ha constatado que los ciudadanos de un Estado miembro no pueden utilizar su identificación electrónica para autenticarse en otro Estado miembro porque los sistemas nacionales de identificación electrónica en su país no son reconocidos en otros Estados miembros. Dicha barrera electrónica excluye a los prestadores de servicios del pleno disfrute de los beneficios del mercado interior. El Reglamento entiende que unos medios de identificación electrónica mutuamente reconocidos facilitarán la prestación transfronteriza de numerosos servicios en el mercado interior y permitirán a las empresas actuar fuera de sus fronteras sin encontrar obstáculos en su interacción con las autoridades públicas.
El Reglamento eIDAS también establece un marco jurídico general para la utilización de los servicios de confianza. Para contribuir al uso transfronterizo general de los servicios de confianza, entiende que es necesario que se utilicen como prueba en procedimientos judiciales en todos los Estados miembros aunque deje al Derecho nacional la definición de los efectos jurídicos de dichos servicios, salvo disposición contraria del Reglamento eIDAS, como es el caso de los servicios de e-delivery o entrega electrónica certificada.
Establece, así mismo, un régimen de supervisión de los prestadores de servicios de confianza: los prestadores no cualificados de servicios de confianza están sujetos a un tipo de supervisión ligera, reactiva y posterior y justificada en función de la naturaleza de sus servicios y operaciones. Por consiguiente, el organismo de supervisión -que en España continuaría siendo la SETSI- no viene obligado por virtud del Reglamento eIDAS a supervisar a los prestadores no cualificados de servicios. El organismo de supervisión debe actuar únicamente cuando se le informe (por ejemplo, por parte del propio prestador no cualificado de servicios de confianza, mediante notificación de un usuario o de un socio comercial, o a través de sus propias investigaciones) de que un prestador no cualificado de servicios de confianza no cumple los requisitos el Reglamento eIDAS.
Con el fin de garantizar el cumplimiento de los requisitos del Reglamento eIDAS por parte de los prestadores cualificados de servicios de confianza y de los servicios que prestan, se establece un esquema de acreditación de organismos de evaluación de la conformidad que son los llamados a cabo las evaluaciones de la conformidad (certificación). El desarrollo ha sido efectuado por la norma EN 319403 basada en la ISO 17065. Una vez pasada la auditoría conforme, con o sin no-conformidades, los prestadores cualificados de servicios de confianza transmitirán los informes de evaluación de la conformidad/auditorías al organismo de supervisión. Siempre que el organismo de supervisión exija que un prestador cualificado de servicios de confianza presente un informe ad hoc de evaluación de la conformidad, el organismo de supervisión debe observar, en particular, el principio de buena administración, incluida la obligación de motivar sus decisiones, así como el principio de proporcionalidad. Por consiguiente, el organismo de supervisión, la SETSI en este caso, debe justificar debidamente cualquier decisión por la que requiera una evaluación ad hoc de la conformidad. La aceptación del informe supondrá el alta del prestador y de sus servicios en el registro de prestadores y en la TSL (listas de confianza), lo que permitirá su reconocimiento a través de frontera.
Las listas de confianza constituyen elementos esenciales para la creación de confianza entre los operadores del mercado, ya que indican la cualificación del prestador de servicios en el momento de la supervisión.
Los Estados miembros podrán mantener o introducir disposiciones nacionales, acordes con el Derecho UE, relativas a los servicios de confianza, siempre que tales servicios no estén plenamente armonizados por el Reglamento eIDAS, lo que podría suponer la adopción de una legislación nacional sobre e-delivery a la manera que ya lo ha hizo Bélgica (incorporando la ya superada figura del correo electrónico híbrido). No obstante lo anterior, sólo los productos y servicios de confianza que se ajusten al Reglamento eIDAS deben poder circular libremente en el mercado interior.
Eso no impide que los Estados miembros conserven, como no podría ser de otra manera, la libertad para definir otros tipos de servicios de confianza, además de los que forman parte de la lista cerrada de servicios de confianza prevista en el Reglamento eIDAS, a efectos de su reconocimiento a nivel nacional como servicios de confianza cualificados.
Como hemos indicado, el Reglamento establece unos servicios de confianza de partida, que no operan como numerus clausus. La lista que fija el propio Reglamento eIDAS define los servicios de confianza como aquellos de naturaleza electrónica prestados habitualmente a cambio de una remuneración, consistente en:
– La creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o
– La creación, verificación y validación de certificados para la autenticación de sitios web, o
– La preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.
