Firma electrónica y certificados digitales. Concepto de firma electrónica. Tipos de firma electrónica. Los certificados digitales. La firma electrónica en las Administraciones Públicas.
Actualizado a 25 de mayo de 2026. Regístrate para recibir actualizaciones cuando la legislación cambie.
Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (2020)
La presente Ley tiene por objeto regular determinados aspectos de los servicios electrónicos de confianza, como complemento del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
Esta Ley se aplicará a los prestadores públicos y privados de servicios electrónicos de confianza establecidos en España.
Así mismo, se aplicará a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.
Los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.
La prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Si el servicio fuese cualificado, se estará a lo previsto en el apartado 4 del mismo precepto.
Los certificados electrónicos se extinguen por caducidad a la expiración de su período de vigencia, o mediante revocación por los prestadores de servicios electrónicos de confianza en los supuestos previstos en el artículo siguiente.
El período de vigencia de los certificados cualificados no será superior a cinco años.
Dicho período se fijará en atención a las características y tecnología empleada para generar los datos de creación de firma, sello, o autenticación de sitio web.
a) Solicitud formulada por el firmante, la persona física o jurídica representada por este, un tercero autorizado, el creador del sello o el titular del certificado de autenticación de sitio web.
b) Violación o puesta en peligro del secreto de los datos de creación de firma o de sello, o del prestador de servicios de confianza, o de autenticación de sitio web, o utilización indebida de dichos datos por un tercero.
c) Resolución judicial o administrativa que lo ordene.
d) Fallecimiento del firmante; capacidad modificada judicialmente sobrevenida, total o parcial, del firmante; extinción de la personalidad jurídica o disolución del creador del sello en el caso de tratarse de una entidad sin personalidad jurídica, y cambio o pérdida de control sobre el nombre de dominio en el supuesto de un certificado de autenticación de sitio web.
e) Terminación de la representación en los certificados electrónicos con atributo de representante. En este caso, tanto el representante como la persona o entidad representada están obligados a solicitar la revocación de la vigencia del certificado en cuanto se produzca la modificación o extinción de la citada relación de representación.
f) Cese en la actividad del prestador de servicios de confianza salvo que la gestión de los certificados electrónicos expedidos por aquel sea transferida a otro prestador de servicios de confianza.
g) Descubrimiento de la falsedad o inexactitud de los datos aportados para la expedición del certificado y que consten en él, o alteración posterior de las circunstancias verificadas para la expedición del certificado, como las relativas al cargo.
h) En caso de que se advierta que los mecanismos criptográficos utilizados para la generación de los certificados no cumplen los estándares de seguridad mínimos necesarios para garantizar su seguridad.
i) Cualquier otra causa lícita prevista en la declaración de prácticas del servicio de confianza.
Los prestadores de servicios de confianza suspenderán la vigencia de los certificados electrónicos en los supuestos previstos en las letras a), c) y h) del apartado anterior, así como en los casos de duda sobre la concurrencia de las circunstancias previstas en sus letras b) y g), siempre que sus declaraciones de prácticas de certificación prevean la posibilidad de suspender los certificados.
En su caso, y de manera previa o simultánea a la indicación de la revocación o suspensión de un certificado electrónico en el servicio de consulta sobre el estado de validez o revocación de los certificados por él expedidos, el prestador de servicios electrónicos de confianza comunicará al titular, por un medio que acredite la entrega y recepción efectiva siempre que sea factible, esta circunstancia, especificando los motivos y la fecha y la hora en que el certificado quedará sin efecto.
En los casos de suspensión, la vigencia del certificado se extinguirá si transcurrido el plazo de duración de la suspensión, el prestador no la hubiera levantado.
a) En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.
b) En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.
La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho. Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial.
Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.
La forma en que se ha procedido a identificar a la persona física solicitante podrá constar en el certificado. En otro caso, los prestadores de servicios de confianza deberán colaborar entre sí para determinar cuándo se produjo la última personación.
En el caso de certificados cualificados de sello electrónico y de firma electrónica con atributo de representante, los prestadores de servicios de confianza comprobarán, además de los datos señalados en los apartados anteriores, los datos relativos a la constitución y personalidad jurídica, y a la persona o entidad representada, respectivamente, así como la extensión y vigencia de las facultades de representación del solicitante mediante los documentos, públicos si resultan exigibles, que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público si así resulta exigible. Esta comprobación podrá realizarse, asimismo, mediante consulta en el registro público en el que estén inscritos los documentos de constitución y de apoderamiento, pudiendo emplear los medios telemáticos facilitados por los citados registros públicos.
Cuando el certificado cualificado contenga otras circunstancias personales o atributos del solicitante, como su condición de titular de un cargo público, su pertenencia a un colegio profesional o su titulación, estas deberán comprobarse mediante los documentos oficiales que las acrediten, de conformidad con su normativa específica.
Lo dispuesto en los apartados anteriores podrá no ser exigible cuando la identidad u otras circunstancias permanentes de los solicitantes de los certificados constaran ya al prestador de servicios de confianza en virtud de una relación preexistente, en la que, para la identificación del interesado, se hubiese empleado el medio señalado en el apartado 1 y el período de tiempo transcurrido desde la identificación fuese menor de cinco años.
El Ministerio de Asuntos Económicos y Transformación Digital velará por que los prestadores cualificados de servicios electrónicos de confianza puedan contribuir a la elaboración de la norma reglamentaria prevista en el apartado 2 del presente artículo, de acuerdo con lo previsto en el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del Gobierno.
El tratamiento de los datos personales que precisen los prestadores de servicios electrónicos de confianza para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta Ley se sujetará a lo dispuesto en la legislación aplicable en materia de protección de datos de carácter personal.
Los prestadores de servicios electrónicos de confianza que consignen un pseudónimo en un certificado electrónico deberán constatar la verdadera identidad del titular del certificado y conservar la documentación que la acredite.
Dichos prestadores de servicios de confianza estarán obligados a revelar la citada identidad cuando lo soliciten los órganos judiciales y otras autoridades públicas en el ejercicio de funciones legalmente atribuidas, con sujeción a lo dispuesto en la legislación aplicable en materia de protección de datos personales.
a) Publicar información veraz y acorde con esta Ley y el Reglamento (UE) 910/2014.
b) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.
En este caso, utilizarán sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, y se aplicarán procedimientos y mecanismos técnicos y organizativos adecuados, para garantizar que el entorno sea fiable y se utilice bajo el control exclusivo del titular del certificado. Además, deberán custodiar y proteger los datos de creación de firma, sello o autenticación de sitio web frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad.
Los prestadores de servicios de confianza que expidan certificados electrónicos deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público.
Los prestadores cualificados de servicios electrónicos de confianza deberán cumplir las siguientes obligaciones adicionales:
a) El período de tiempo durante el que deberán conservar la información relativa a los servicios prestados de acuerdo con el artículo 24.2.h) del Reglamento (UE) 910/2014, será de 15 años desde la extinción del certificado o la finalización del servicio prestado.
En caso de que expidan certificados cualificados de sello electrónico o autenticación de sitio web a personas jurídicas, los prestadores de servicios de confianza registrarán también la información que permita determinar la identidad de la persona física a la que se hayan entregado los citados certificados, para su identificación en procedimientos judiciales o administrativos.
b) Constituir un seguro de responsabilidad civil por importe mínimo de 1.500.000 euros, excepto si el prestador pertenece al sector público. Si presta más de un servicio cualificado de los previstos en el Reglamento (UE) 910/2014, se añadirán 500.000 euros más por cada tipo de servicio.
La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea coherente con lo dispuesto en el párrafo anterior.
Las cuantías y los medios de aseguramiento y garantía establecidos en los dos párrafos anteriores podrán ser modificados mediante real decreto.
c) El prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad, por un medio que acredite la entrega y recepción efectiva siempre que sea factible. El plan de cese del prestador de servicios puede incluir la transferencia de clientes, una vez acreditada la ausencia de oposición de los mismos, a otro prestador cualificado, el cual podrá conservar la información relativa a los servicios prestados hasta entonces.
Igualmente, comunicará al órgano de supervisión cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga contra él.
d) Enviar el informe de evaluación de la conformidad al Ministerio de Asuntos Económicos y Transformación Digital en los términos previstos en el artículo 20.1 del Reglamento (UE) 910/2014. El incumplimiento de esta obligación conllevará la retirada de la cualificación al prestador y al servicio que este presta, y su eliminación de la lista de confianza prevista en el artículo 22 del citado Reglamento, previo requerimiento al prestador del servicio para que cese en el citado incumplimiento.
Los prestadores de servicios electrónicos de confianza asumirán toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios electrónicos de confianza, incluyendo las actuaciones de comprobación de identidad previas a la expedición de un certificado cualificado.
a) No haber proporcionado al prestador de servicios de confianza información veraz, completa y exacta para la prestación del servicio de confianza, en particular, sobre los datos que deban constar en el certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada, actuando con la debida diligencia, por el prestador de servicios.
b) La falta de comunicación sin demora indebida al prestador de servicios de cualquier modificación de las circunstancias que incidan en la prestación del servicio de confianza, en particular, aquellas reflejadas en el certificado electrónico.
c) Negligencia en la conservación de sus datos de creación de firma, sello o autenticación de sitio web, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de estos o, en su caso, de los medios que den acceso a ellos.
d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma, sello o autenticación de sitio web o, en su caso, de los medios que den acceso a ellos.
e) Utilizar los datos de creación de firma, sello o autenticación de sitio web cuando haya expirado el período de validez del certificado electrónico o el prestador de servicios de confianza le notifique la extinción o suspensión de su vigencia.
El prestador de servicios de confianza tampoco será responsable por los daños y perjuicios si el destinatario actúa de forma negligente. Se entenderá que el destinatario actúa de forma negligente cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico, o cuando no verifique la firma o sello electrónico.
El prestador de servicios de confianza no será responsable por los daños y perjuicios en caso de inexactitud de los datos que consten en el certificado electrónico si estos le han sido acreditados mediante documento público u oficial, inscrito en un registro público si así resulta exigible.
Los prestadores de servicios de confianza no cualificados no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien, que publicará en su página web el listado de prestadores de servicios de confianza no cualificados en una lista diferente a la de los prestadores de servicios de confianza cualificados, con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados.
En el mismo plazo deberán comunicar la modificación de los datos inicialmente transmitidos y el cese de su actividad.
Los prestadores cualificados y no cualificados de servicios electrónicos de confianza notificarán al Ministerio de Asuntos Económicos y Transformación Digital las violaciones de seguridad o pérdidas de la integridad señaladas en el artículo 19.2 del Reglamento (UE) 910/2014, sin perjuicio de su notificación a la Agencia Española de Protección de Datos, a otros organismos relevantes o a las personas afectadas.
Los prestadores de servicios tienen la obligación de tomar las medidas necesarias para resolver los incidentes de seguridad que les afecten.
Los prestadores de servicios ampliarán, en un plazo máximo de un mes tras la notificación del incidente y, de haber tenido lugar, tras su resolución, la información suministrada en la notificación inicial con arreglo a las directrices y formularios que pueda establecer el Ministerio de Asuntos Económicos y Transformación Digital.
El Ministerio de Asuntos Económicos y Transformación Digital, como órgano de supervisión, controlará el cumplimiento por los prestadores de servicios electrónicos de confianza cualificados y no cualificados que ofrezcan sus servicios al público de las obligaciones establecidas en el Reglamento (UE) 910/2014 y en esta Ley.
El Ministerio de Asuntos Económicos y Transformación Digital podrá acordar las medidas apropiadas para el cumplimiento del Reglamento (UE) 910/2014 y de esta Ley.
En particular, podrá dictar directrices para la elaboración y comunicación de informes y documentos, así como recomendaciones para el cumplimiento de las obligaciones técnicas y de seguridad exigibles a los servicios de confianza, así como sobre requisitos y normas técnicas de auditoría y certificación para la evaluación de la conformidad de los prestadores cualificados de servicios de confianza. Al efecto, se tendrán en consideración las normas, instrucciones, guías y recomendaciones emitidas por el Centro Criptológico Nacional en el marco de sus competencias, así como informes, especificaciones o normas elaboradas por la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) o por organismos de estandarización europeos e internacionales.
El Ministerio de Asuntos Económicos y Transformación Digital realizará las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control. Los funcionarios adscritos al Ministerio de Asuntos Económicos y Transformación Digital que realicen la inspección tendrán la consideración de autoridad pública en el desempeño de sus cometidos.
El Ministerio de Asuntos Económicos y Transformación Digital podrá recurrir a entidades independientes y técnicamente cualificadas para que le asistan en las labores de supervisión y control sobre los prestadores de servicios de confianza que le asigna el Reglamento (UE) 910/2014 y esta Ley.
Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.
El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.
El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.
La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.
Si el organismo de certificación perteneciera a la Autoridad Nacional de Certificación de la Ciberseguridad o estuviese supervisado por ella, se acordarán con dicha Autoridad los mecanismos de colaboración y el contenido de la información necesaria.
Los prestadores de servicios de confianza deberán permitir a sus funcionarios o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.6 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquellas.
La información referente a los prestadores cualificados de servicios de confianza podrá ser objeto de publicación en la dirección de Internet del Ministerio de Asuntos Económicos y Transformación Digital para su difusión y conocimiento.
A más tardar el 1 de febrero de cada año, los prestadores cualificados de servicios de confianza remitirán al Ministerio de Asuntos Económicos y Transformación Digital un informe sobre sus datos de actividad del año civil precedente, con objeto de cumplimiento por parte de este de las obligaciones de información a la Comisión Europea.
El Ministerio de Asuntos Económicos y Transformación Digital informará a la Agencia Española de Protección de Datos en caso de resultar infringidas las normas sobre protección de datos de carácter personal, así como sobre los incidentes en materia de seguridad que impliquen violaciones de los datos de carácter personal.
Las infracciones de los preceptos del Reglamento (UE) 910/2014 y de esta Ley se clasifican en muy graves, graves y leves.
Son infracciones muy graves:
a) La comisión de una infracción grave en el plazo de dos años desde que hubiese sido sancionado por una infracción grave de la misma naturaleza, contados desde que recaiga la resolución sancionadora firme.
b) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando ello afecte a la mayoría de los certificados cualificados expedidos en el año anterior al inicio del procedimiento sancionador o desde el inicio de la actividad del prestador si este periodo es menor.
a) La resistencia, obstrucción, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley.
b) Actuar en el mercado como prestador cualificado de servicios de confianza, ofrecer servicios de confianza como cualificados o utilizar la etiqueta de confianza «UE» sin haber obtenido la cualificación de los citados servicios.
c) En caso de que el prestador expida certificados electrónicos, almacenar o copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.
d) No proteger adecuadamente los datos de creación de firma, sello o autenticación de sitio web cuya gestión se le haya encomendado en la forma establecida en el artículo 9.1.b) de esta Ley.
e) No registrar o conservar la información a la que se refiere el artículo 9.3.a) de esta Ley.
f) El incumplimiento de la obligación de notificación de incidentes establecida en el artículo 19.2 del Reglamento (UE) 910/2014, en los términos previstos en el artículo 13 de esta Ley.
g) En caso de prestadores cualificados de servicios de confianza, el incumplimiento de alguna de las obligaciones establecidas en los artículos 24.2, letras b), c), d), e), f), g), h), y k), 24.3 y 24.4 del Reglamento (UE) 910/2014, con las precisiones establecidas, en su caso, por esta Ley.
h) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando no constituya infracción muy grave.
i) La ausencia de adopción de medidas, o la adopción de medidas insuficientes, para la resolución de los incidentes de seguridad en los productos, redes y sistemas de información, en el plazo de diez días desde que aquellos se hubieren producido.
j) El incumplimiento de las resoluciones dictadas por el Ministerio de Asuntos Económicos y Transformación Digital para requerir a un prestador de servicios de confianza que corrija cualquier incumplimiento de los requisitos establecidos en esta Ley y en el Reglamento (UE) 910/2014.
k) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control, a partir del segundo requerimiento.
l) No cumplir con las obligaciones de constatar la verdadera identidad del titular de un certificado electrónico y de conservar la documentación que la acredite, en caso de consignación de un pseudónimo.
m) El incumplimiento por parte de los prestadores cualificados y no cualificados de servicios de confianza de la obligación establecida en el artículo 19.1 del Reglamento (UE) 910/2014 de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que presten.
n) No extinguir la vigencia de los certificados electrónicos en los supuestos señalados en esta Ley.
o) La prestación de servicios cualificados careciendo del correspondiente seguro obligatorio, en los términos previstos en el artículo 9.3.b) de esta Ley.
a) Publicar información no veraz o no acorde con esta Ley y el Reglamento (UE) 910/2014.
b) No comunicar el inicio de actividad, su modificación o cese por los prestadores de servicios no cualificados en el plazo establecido en el artículo 12 de esta Ley.
c) El incumplimiento por los prestadores cualificados de servicios de confianza de alguna de las obligaciones establecidas en el artículo 24.2, letras a) e i) del Reglamento (UE) 910/2014.
d) El incumplimiento por los prestadores cualificados de servicios de confianza de su obligación de remitir un informe anual de actividad al Ministerio de Asuntos Económicos y Transformación Digital antes del 1 de febrero de cada año.
e) El incumplimiento del deber de comunicación establecido en el artículo 9.3.c) de esta Ley.
f) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control.
Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el artículo anterior, podrán acordar no iniciar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable, a fin de que en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta ley.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
a) Por la comisión de infracciones muy graves, una multa por importe de 150.001 hasta 300.000 euros.
b) Por la comisión de infracciones graves, una multa por importe de 50.001 hasta 150.000 euros.
c) Por la comisión de infracciones leves, una multa por importe de hasta 50.000 euros.
a) El grado de culpabilidad o la existencia de intencionalidad.
b) La continuidad o persistencia en la conducta infractora.
c) La naturaleza y cuantía de los perjuicios causados.
d) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme en vía administrativa.
e) El volumen de facturación del prestador responsable.
f) El número de personas afectadas por la infracción.
g) La gravedad del riesgo generado por la conducta.
h) Las acciones realizadas por el prestador encaminadas a paliar los efectos o consecuencias de la infracción.
La imposición de sanciones por el incumplimiento de lo previsto en esta ley corresponderá, en el caso de infracciones muy graves, a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, a la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
La potestad sancionadora regulada en esta ley se ejercerá de conformidad con lo establecido al respecto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en sus normas de desarrollo. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de iniciación. El plazo máximo de duración del procedimiento simplificado será de tres meses.
Se modifica el apartado 1 del artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, que queda redactado como sigue:
Se introduce una nueva disposición adicional séptima con el siguiente contenido:
El Documento Nacional de Identidad electrónico es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, así como la firma electrónica de documentos.
Todas las personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del Documento Nacional de Identidad para acreditar la identidad y los demás datos personales del titular que consten en el mismo, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos.
Los órganos competentes del Ministerio del Interior para la expedición del Documento Nacional de Identidad cumplirán las obligaciones que la presente Ley impone a los prestadores de servicios electrónicos de confianza que expidan certificados cualificados.
Sin perjuicio de la aplicación de la normativa vigente en materia del Documento Nacional de Identidad en todo aquello que se adecúe a sus características particulares, el Documento Nacional de Identidad se regirá por su normativa específica.
Todos los sistemas de identificación, firma y sello electrónico previstos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrán plenos efectos jurídicos.
Uno. Se modifica el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que queda redactado en los siguientes términos:
Dos. Se añade un apartado 4 al citado artículo 326, con el siguiente tenor:
Los prestadores de servicios no cualificados que ya vinieran prestando servicios deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses a contar desde la entrada en vigor de esta Ley.
Se exceptúan aquellos que hubieran comunicado los servicios prestados al Ministerio de Asuntos Económicos y Transformación Digital antes de la entrada en vigor de esta Ley.
Lo dispuesto en esta Ley no sustituye ni modifica las normas que regulan las funciones que corresponden a los funcionarios que tengan legalmente atribuida la facultad de dar fe en documentos en lo que se refiere al ámbito de sus competencias.
La presente Ley entrará en vigor al día siguiente al de su publicación en el «Boletín Oficial del Estado».
Esta Ley se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, telecomunicaciones y seguridad pública, conforme a lo dispuesto en el artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución Española.
El artículo 3 y la disposición final segunda se dictan, además, al amparo de lo previsto en el artículo 149.1.6.ª de la Constitución, el cual atribuye al Estado competencia exclusiva en materia de legislación procesal. Por su parte la disposición adicional segunda se dicta al amparo de lo previsto en el artículo 149.1.18.ª de la Constitución, en relación con la competencia estatal exclusiva sobre las bases del régimen jurídico de las Administraciones públicas y el procedimiento administrativo común.
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, se modifica en los siguientes términos:
Uno. Se añade un nuevo artículo 12 ter que queda redactado como sigue:
Dos. El primer párrafo del apartado 1 del artículo 35 queda redactado como sigue:
Tres. Se añade un nuevo artículo 36 bis que queda redactado como sigue:
Cuatro. El primer párrafo del artículo 37 queda redactado como sigue:
Cinco. Se añaden doce nuevas letras de la j) a la u) al apartado 3 del artículo 38 con la siguiente redacción:
Seis. Se añaden diez nuevas letras de la j) a la s) al apartado 4 del artículo 38 con la siguiente redacción:
Siete. El artículo 43 queda redactado como sigue:
Lo dispuesto en los artículos 7 y 8 de esta Ley se entenderá sin perjuicio de lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, en relación con la obligación de guardar secreto sobre la identidad de sus miembros.
Se habilita al Gobierno para dictar las disposiciones reglamentarias que sean precisas para el desarrollo y aplicación de esta Ley.
Hasta que se desarrolle reglamentariamente el Documento Nacional de Identidad, se mantendrá en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta Ley, y en particular:
a) La Ley 59/2003, de 19 de diciembre, de firma electrónica.
b) El artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
c) La Orden del Ministerio de Fomento de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS) (2014)
A efectos del presente Reglamento, se entenderá por:
«identificación electrónica»: el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica, o a una persona física que representa a una persona jurídica;
«medios de identificación electrónica»: una unidad material y/o inmaterial que contiene los datos de identificación de una persona y que se utiliza para la autenticación en servicios en línea;
«datos de identificación de la persona»: un conjunto de datos que permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica;
«sistema de identificación electrónica»: un régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a las personas físicas o jurídicas, o a una persona física que representa a una persona jurídica;
«autenticación»: un proceso electrónico que posibilita la identificación electrónica de una persona física o jurídica, o del origen e integridad de datos en formato electrónico;
«parte usuaria»: una persona física o jurídica que confía en la identificación electrónica o en el servicio de confianza;
«organismo del sector público»: una autoridad estatal, regional o local, un organismo de Derecho público o una asociación constituida por una o más de dichas autoridades o uno o más de dichos organismos de Derecho público, o una entidad privada mandatada por al menos una de dichas autoridades, organismos o asociaciones para prestar servicios públicos, cuando actúe en virtud de dicho mandato;
«organismo de Derecho público»: un organismo definido en el artículo 2, apartado 1, punto 4, de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo;
«firmante»: una persona física que crea una firma electrónica;
«firma electrónica»: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar;
«firma electrónica avanzada»: la firma electrónica que cumple los requisitos contemplados en el artículo 26;
«firma electrónica cualificada»: una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica;
«datos de creación de la firma electrónica»: los datos únicos que utiliza el firmante para crear una firma electrónica;
«certificado de firma electrónica»: una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona;
«certificado cualificado de firma electrónica»: un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo I;
«servicio de confianza»: un servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en: a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o b) la creación, verificación y validación de certificados para la autenticación de sitios web, o c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios;
«servicio de confianza cualificado»: un servicio de confianza que cumple los requisitos aplicables establecidos en el presente Reglamento;
«organismo de evaluación de la conformidad»: un organismo en el sentido del artículo 2, punto 13, del Reglamento (CE) n.º 765/2008, que está acreditado de conformidad con dicho Reglamento como competente para evaluar la conformidad de un prestador cualificado de servicios de confianza y de los servicios de confianza cualificados que este presta;
«prestador de servicios de confianza»: una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianza;
«prestador cualificado de servicios de confianza»: un prestador de servicios de confianza que presta uno o varios servicios de confianza cualificados y al que el organismo de supervisión ha concedido la cualificación;
«producto»: un equipo o programa informático, o sus componentes específicos, destinados a ser utilizados para la prestación de servicios de confianza;
«dispositivo de creación de firma electrónica»: un equipo o programa informático configurado que se utiliza para crear una firma electrónica;
«dispositivo cualificado de creación de firma electrónica»: un dispositivo de creación de firma electrónica que cumple los requisitos enumerados en el anexo II;
«creador de un sello»: una persona jurídica que crea un sello electrónico;
«sello electrónico»: datos en formato electrónico anejos a otros datos en formato electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de estos últimos;
«sello electrónico avanzado»: un sello electrónico que cumple los requisitos enumerados en el artículo 36;
«sello electrónico cualificado»: un sello electrónico avanzado que se crea mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello electrónico;
«datos de creación del sello electrónico»: los datos únicos que utiliza el creador del sello electrónico para crearlo;
«certificado de sello electrónico»: una declaración electrónica que vincula los datos de validación de un sello con una persona jurídica y confirma el nombre de esa persona;
«certificado cualificado de sello electrónico»: un certificado de sello electrónico que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo III;
«dispositivo de creación de un sello electrónico»: un equipo o programa informático configurado que se utiliza para crear un sello electrónico;
«dispositivo cualificado de creación de un sello electrónico»: un dispositivo de creación de un sello electrónico que cumple mutatis mutandis los requisitos enumerados en el anexo II;
«sello de tiempo electrónico»: datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante;
«sello cualificado de tiempo electrónico»: un sello de tiempo electrónico que cumple los requisitos establecidos en el artículo 42;
«documento electrónico»: todo contenido almacenado en formato electrónico, en particular, texto o registro sonoro, visual o audiovisual;
«servicio de entrega electrónica certificada»: un servicio que permite transmitir datos entre terceros por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizados;
«servicio cualificado de entrega electrónica certificada»: un servicio de entrega electrónica certificada que cumple los requisitos establecidos en el artículo 44;
«certificado de autenticación de sitio web»: una declaración que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;
«certificado cualificado de autenticación de sitio web»: un certificado de autenticación de sitio web que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo IV;
«datos de validación»: datos que se utilizan para validar una firma electrónica o un sello electrónico;
«validación»: el proceso de verificación y confirmación de la validez de una firma o sello electrónicos.
Una firma electrónica avanzada cumplirá los requisitos siguientes:
a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo; y
d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.
CONSIDERANDOS DEL REGLAMENTO (UE) N.º 910/2014 (eIDAS)
(1) La creación de confianza en el entorno en línea es esencial para el desarrollo económico y social. La desconfianza, en particular debida a la percepción de inseguridad jurídica, hace que los consumidores, las empresas y las administraciones públicas duden a la hora de realizar transacciones por vía electrónica y de adoptar nuevos servicios.
(2) El presente Reglamento se propone reforzar la confianza en las transacciones electrónicas en el mercado interior proporcionando una base común para lograr interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas e incrementando, en consecuencia, la eficacia de los servicios en línea públicos y privados, los negocios electrónicos y el comercio electrónico en la Unión.
(3) La Directiva 1999/93/CE del Parlamento Europeo y del Consejo trataba las firmas electrónicas sin ofrecer un marco transfronterizo e intersectorial completo para transacciones electrónicas seguras, fiables y de fácil uso que englobara la identificación electrónica, la autenticación y los servicios de confianza.
(4) Las comunicaciones de la Comisión tituladas «Agenda Digital para Europa» y «Acta del Mercado Único — Doce prioridades para estimular el crecimiento y reforzar la confianza» subrayaban la necesidad de dar un impulso firme al reconocimiento mutuo de la identificación electrónica y la autenticación como motores esenciales del mercado único digital.
ANEXO I REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE FIRMA ELECTRÓNICA
Los certificados cualificados de firma electrónica contendrán:
a) una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de firma electrónica;
b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y: — para personas jurídicas: el nombre y, cuando proceda, el número de registro, tal como figuren en los registros oficiales, — para personas físicas: el nombre de la persona;
c) al menos el nombre del firmante o un seudónimo; si se usara un seudónimo se indicará claramente;
d) datos de validación de la firma electrónica que correspondan a los datos de creación de la firma electrónica;
e) los datos relativos al inicio y final del período de validez del certificado;
f) el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;
g) la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;
h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra g);
i) la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;
j) cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.
Pregunta sobre leyes y normativa
Hola, ¿en qué puedo ayudarte?
Pregunta sobre cualquier ley o artículo
Pregúntame sobre:
✨ Estoy entrenada con +170 leyes, ¡espero serte útil!