Evidencias Electrónicas

Auditoría de terceros de confianza en cumplimiento de #eIdAS

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE) recoge la figura del Tercero de Confianza en su artículo 25, para una función concreta, la de custodia de documentos:

  1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.
  2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

Tras la publicación del Reglamento Europeo Nº 910/2014 (#eIdAS) de aplicación directa en España, como en el resto de países miembros de la UE, la figura del “Tercero de Confianza”  recibe la denominación de PSEC, Prestador de Servicios Electrónicos de Confianza, si bien la panoplia de servicios que puede ofrecer es amplia, siendo una, efectivamente la de archivo o conservación de documentos electrónicos, en su artículo 34, relativo a la conservación de firmas electrónicas cualificadas (y 40, en relación con los sellos electrónicos):

  1. Solo podrá prestar un servicio cualificado de conservación de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que utilice procedimientos y tecnologías capaces de ampliar la fiabilidad de los datos de la firma electrónica cualificada más allá del período de validez tecnológico.
  2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio cualificado de conservación de firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas se ajusten a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Puesto que la norma solo considera cualificados los servicios  de conservación de firmas electrónicas cualificadas y de sellos electrónicos cualificados (se sobreentiende que aplicados a documentos electrónicos), otros servicios de conservación de documentos electrónicos tendrán el carácter de “no cualificados”.

En este contexto, existen tres niveles de servicios:

  1. Servicios electrónicos de confianza no cualificados y no registrados en el registro de PSEC de la SETSI
  2. Servicios electrónicos de confianza no cualificados, registrados en el registro de PSEC de la SETSI
  3. Servicios electrónicos de confianza cualificados, registrados en el registro de PSEC de la SETSI

Para los del tercer caso, antes de que el Prestador de Servicios Electrónicos de Confianza (PSEC)  inicie la prestación de servicios de confianza cualificados, debe presentar al organismo de supervisión (en España, la SETSI,  Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información) una solicitud de aprobación  de inicio de actividad  (técnicamente, una Notificación de servicios electrónicos de confianza cualificados)  junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación acreditado ante el organismo de acreditación (en España,  ENAC, Entidad Nacional de Acreditación).

Dentro de los Servicios electrónicos de confianza cualificados están los servicios de expedición de certificados cualificados de persona física que se corresponden con los servicios de certificación de certificado reconocido regulados hasta el 1 de julio de 2016 por la Ley 59/2003, de 19 de diciembre, de firma electrónica (LFE), ley que transponía la Directiva 1999/93/CE.

Los prestadores de servicios de certificación que emiten certificados reconocidos conforme a la Directiva 1999/93/CE disponen de plazo hasta el 1 de julio de 2017 para presentar un informe de evaluación de conformidad al organismo supervisor.