Métodos de identificación electrónica en remoto para la solicitud de certificados electrónicos cualificados: Proyecto de orden Ministerial

La situación derivada de la crisis del COVID-19 ha puesto de manifiesto la conveniencia de disponer de medios de identificación no presenciales para la solicitud de certificados electrónicos cualificados. Así se autorizó, de forma provisional, durante la vigencia del estado de alarma, mediante el RD-Ley 11/2020.

Posteriormente, el RD-Ley 28/2020, modificó la entonces todavía vigente Ley de firma electrónica de 2003, para añadir la posibilidad de establecer de modo estable, mediante orden ministerial, estas formas de identificación remota. Al amparo de esa previsión que luego fue incorporada en el artículo 7.2 la vigente Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (la “LSEC”), el Ministerio de Asuntos Económicos y Transformación Digital publicó el borrador de “Proyecto de Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados” (el “Proyecto”).

El Proyecto, que sigue en tramitación, recoge una primera propuesta de los requisitos exigibles para identificar en remoto a los solicitantes de certificados electrónicos cualificados, garantizando un nivel de seguridad y fiabilidad equivalente a la identificación presencial. Exponemos a continuación sus aspectos principales.

Marco legal

La normativa de la Unión Europea en materia de identificación electrónica y servicios de confianza –Reglamento eIDAS y sus normas de desarrollo- confiere a los Estados miembros la posibilidad de verificar la identidad de los solicitantes de certificados electrónicos cualificados (los “Solicitantes CEC”), utilizando métodos “reconocidos a escala nacional” que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física.

La Orden proyectada busca dar cumplimiento a lo dispuesto en el artículo 7.2 de la LSEC, que establece que:

“Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad (…)”.

Notas características del Proyecto

Sin perjuicio de que se trata de un borrador de Proyecto y que todavía puede ser objeto de enmiendas, enumeramos a continuación algunas de sus notas más características.

• Objeto. Conforme adelantábamos, el Proyecto persigue “regular las condiciones y requisitos técnicos mínimos aplicables a la verificación de la identidad, así como de los atributos específicos, de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación distintos a la presencia física que aporten una seguridad equivalente en términos de fiabilidad”.
  
• Ámbito de aplicación. El Proyecto afecta a prestadores cualificados públicos y privados establecidos en España, a los residentes y a aquellos que tengan establecimiento permanente en territorio nacional (conjuntamente, los “Prestadores”). También permite externalizar la ejecución de los procedimientos de identificación, eso sí, manteniendo inalterado el régimen de responsabilidad de los Prestadores.
  
• El Proyecto aboga por dos modalidades de identificación en remoto: asistida a través de un agente; o no asistida, sin interacciones en línea, con revisión posterior de un agente. Un organismo acreditado se encargará de llevar a cabo las evaluaciones y comprobación de cumplimiento de los requisitos por parte de los Prestadores.
  
• Requisitos de seguridad. El Proyecto incluye, entre otros, el deber de los Prestadores de llevar a cabo un análisis de riesgos con carácter anual, implementar medidas técnicas y organizativas, y documentar por escrito las características de seguridad de sus sistemas. También les impone el deber de notificar al órgano supervisor aquellas violaciones de seguridad o pérdidas de integridad que tengan impacto en el servicio. Dicha notificación deberá tener lugar de forma inmediata o en un periodo inferior a 24 horas desde su conocimiento.
  
• ¿Cómo se identificará el Solicitante CEC?
  
  De acuerdo con el Proyecto, el Solicitante CEC empleará su DNI/NIF, debiendo comprobar el Prestador sus características de seguridad en el proceso de identificación remota por vídeo. Con carácter previo, el Prestador deberá proporcionar al Solicitante CEC información clara y transparente sobre los términos, condiciones y recomendaciones de seguridad del proceso. Asimismo, el Prestador deberá recabar su consentimiento expreso al proceso (y a la grabación), y, en todo caso, adoptará medidas que garanticen la privacidad desde el inicio hasta su terminación.
  
  El proceso de identificación del Solicitante CEC, deberá grabarse íntegramente y sin interrupciones, con la suficiente claridad y nitidez, debiendo constar la fecha y hora aplicables a través de un sistema de sello cualificado de tiempo.
  
• ¿Cómo se verifica la identidad del Solicitante CEC, sus atributos y su DNI/NIF?
  
  El Prestador deberá comprobar la autenticidad, vigencia, integridad del DNI/NIF y su correspondencia. En línea con ello, implementará medidas para mitigar discrepancias con la identidad del Solicitante CEC (e.g. documentos robados) y para detectar eventuales manipulaciones del vídeo, el DNI/NIF o del solicitante. Durante el proceso de registro, el Prestador comprobará los datos de identidad del Solicitante CEC a través de las plataformas habilitadas al efecto por la Secretaría de Estado de Digitalización e Inteligencia Artificial o el órgano de supervisión competente.

Habrá que esperar a la aprobación definitiva de la Orden para confirmar el marco legal aplicable los procesos de identificación electrónica realizados en el marco de expediciones de certificados cualificados de firma electrónica, que hoy día resultan tan necesarios, pero siguen planteando inseguridades jurídicas importantes que se añaden además a las incertidumbres generales del entorno cibernético.

Autores: Claudia Morgado y Raúl Pérez.