El Gobierno ha publicado la Orden ETD/465/2021, de 6 de mayo. Esta tiene por objeto regular los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.
El Reglamento (UE) 910/2014 se encarga de estipular el marco normativo a nivel comunitario sobre identificación electrónica y servicios de confianza para las transacciones electrónicas. Este, permite verificar la identidad del solicitante, siempre que, se garantice una seguridad equivalente en términos de fiabilidad a la presencia física.
Debido a la pandemia derivada de la COVID – 19, se implantó mediante el Real Decreto-ley 11/2020 la posibilidad de identificarse remotamente para la obtención de sistemas certificados cualificados. Es por ello que, ahora, se pretende implantar definitivamente esta opción garantizando jurídicamente la seguridad de este medio de autenticación.
Esta nueva Orden regula las condiciones y requisitos técnicos mínimos aplicables. Siempre, atendiendo a la verificación de la identidad de la persona solicitante de un certificado electrónico cualificado por métodos de identificación remota por vídeo. Todo ello, en virtud del artículo 7.2 de la Ley 6/2020 y del artículo 24.1.d) del antedicho Reglamento (UE) 910/2014.
En lo referente al ámbito de aplicación, esta se aplicará a:
- prestadores cualificados públicos y privados de servicios electrónicos de confianza establecidos en España, y
- prestadores a los prestadores cualificados públicos y privados de servicios electrónicos de confianza establecidos en España.
En lo relativo a la protección de datos, habrá que estar a lo determinado por el RGPD y el resto de legislación vigente. Asimismo, se establecen requisitos de seguridad, formación, instalaciones y del proceso de identificación obligatorios para el prestador cualificado en relación con la protección de datos:
- Disponer de un modelo de gestión continua del riesgo que permita realizar un análisis del riegos. Se debe analizar la naturaleza, ámbito, contexto y fines del tratamiento de los datos personales, así como, los riesgos de diversa probabilidad y gravedad.
- Realización de una evaluación de impacto. En caso de que del análisis realizado resulte probable que el tratamiento suponga un alto riesgo para los derechos y libertades de las personas.
- Notificación a la AEPD en caso de brecha de seguridad de datos personales. Si existiese una violación de la seguridad, el responsable del tratamiento deberá notificarla a la AEPD sin dilación indebida en virtud del RGPD.
- Dar formación específica al personal en materia de protección de datos personales y servicios de confianza.
- Garantizar la seguridad del proceso, información y protección de datos. Siempre que, el personal involucrado en el proceso de identificación remota por vídeo desarrolle su actividad en la modalidad de trabajo a distancia.
- Garantizar la integridad, autenticidad y confidencialidad de la grabación, así como, las pruebas obtenidas durante el proceso de identificación remota. Habrá que estar a lo dispuesto en el artículo 32 de la Ley Orgánica 3/2018 (LOPDGDD) para la conservación mediante el bloqueo de los datos.
La Orden entró en vigor el 15 de mayo de 2021, al día siguiente de su publicación en el BOE. No obstante, lo dispuesto en el artículo 6.d) entrará en vigor el 1 de julio de 2022.
- “TikTok: ¿Una amenaza para la seguridad nacional de EEUU?”
- La AEPD impone multas millonarias a CaixaBank e Iberdrola por una “brecha” en la protección de datos personales de sus clientes.
- Cibercriminalidad en España: aumento de las estafas informáticas
- La APDCAT avala la instalación de cámaras de videovigilancia en los taxis
- Novedades respecto a las directrices de verificación de edad
- Meta: acusada de realizar un tratamiento masivo e ilegal de datos personales
