Lista actualizada de las soluciones de Digitalización Certificada aprobadas por la AEAT

Se incluye seguidamente una versión actualizada de la Lista de soluciones de Digitalización Certificada aprobadas por la AEAT:

SOFTWARE	VER.	EMPRES.A.	Fecha de Homologación
LEGALSNAPSCAN	1.0	ANF-AC	26/11/2007
DF-SERVER	4.0.0	SOTRONIC	06/03/2008
EDASFACTURAS	3.0	ZEROCOMA (Disponible V3.1 04/12/2015) ZEROCOMA (Disponible V3.2 03/02/2019)	11/04/2008
EDIWIN DIGICERT	1.1	EDICOM	11/04/2008
INVESDOC DC	10.0	INFORMÁTICA EL CORTE INGLÉS	16/06/2008
ATRIL	4.0-DC	IPS.A.	15/07/2008
DIGITAL DOCU	3.0	OFIMÁTICA DIGITAL	01/09/2008
SCAN_VISIO EDOCUMENT SUITE	2.0	ABAST SOLUTIONS	16/12/2008
FIRMADOC DIGITALIZACIÓN	1.0.0	AYTOS CPD	08/01/2009
I-FACT	1	INDRA SISTEMAS S.A. (esta empreS.A. ha cambiado su denominación a: INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN S.L.U.)	04/02/2009 04/12/2018
DOCUODEC	2.0	ODEC	18/02/2009
DIGIFACTIN	2.0	NOTARNET S.L	26/02/2009
docuCERT	1.0	CATIMAGE S.L	15/04/2009
ADAPTING EFACTURA	2.0	ADAPTING S.L	20/04/2009
INVOCA DOCUMENTUM	1.0	INFORMÁTICA EL CORTE INGLÉS	19/05/2009
ESIGNA DIGITALSCAN	1.0	INDENOVA S.L	19/05/2009
AdDOC	3.70	IBAI SISTEMAS S.A	02/06/2009
Scan Invoices	5-5 sp2	READSOFT ESPAÑA S.L	29/06/2009
Ecodoc	1.00.00	AKITANIA 2000 S.A.	29/06/2009
BdocWeb	6.0	ALIANET S.L	29/06/2009
PIXELWARE LEGAL SCAN	2.0	PIXELWARE S.A.	03/09/2009
ECOMPULS.A.	1.0	DOCEO	22/09/2009
HEIMDALL	1.0	PAPYRUM NEXUS S.L.	22/09/2009
Docuware	5.1b	DocuWare S.L	11/12/2009
Livelink ECM-digitalización certificada	1.0	Hummingbird Spain S.L.	17/12/2009
DOXiS4 InvoiceMaster	4.0	SER SOLUTIONS IBERIA S.L	12/01/2010
DIFSLEGAL	3.0.0.0	Matrix Development System, S.A.	28/01/2010
IMG-Módulo de Digitalización Certificada	1	Serikat Consultoría e Informática, S.A.	12/02/2010
FACTe	1.0	Indra, S.L. (esta empreS.A. ha cambiado su denominación a: INDRA SOLUCIONES TECNOLOGÍAS DE LA NFORMACIÓN S.L.U.)	09/03/2010
BS Factura-DC	2.0	BanSabadellFactura, S.L.U.	12/03/2010
EdocScancert	2.0	EDITIO SERVEIS GLOBALS D’IMPRESSIÓ,S.L.	15/04/2010
GDON	1.0	DISEÑO OPERATIVO DE SOFTWARE S.L.	19/04/2010
IeS.A.GDoc ModuloDC	3.0.0.0	Informatización de EmpreS.A.s S.A.	27/04/2010
Delfos Web Scan	1.0	Atos Origin S.A.E	02/07/2010
TS-DIGCERT	1.0	T-Systems ITC Iberia S.A.(Sociedad Unipersonal)	08/07/2010
Repcon invoices	1.0	Semantic systems	27/10/2010
Esker DeliveryWare	5.0	ESKER Ibérica S.L.	03/12/2010
DEOSCAN-ALETHEIA	1.0	MULTITEC S.A.	10/12/2010
Readsoft INVESDOCDC	1.0	IECIS.A. (Informática El Corte Inglés)	22/12/2010
Readsoft DC	1.0	IECIS.A. (Informática El Corte Inglés)	22/12/2010
SM-Veritas	1.0	Simply Smart S.L.	25/02/2011
Tire@SDC	1.0	TIREA S.A. (Tecnologías de la Información y Redes para Entidades	25/02/2011
GOnceDC	1.0	GUADALTEL S. A.	22/03/2011
ABS Doc DC	1.0	ABS Informática S.L.	12/07/2011
Movidoc – DDFE	1.1	Voicelan Telecom S.L.	27/07/2011
Expert Scan	1.0	Datadec Online S. A.	29/09/2011
GitDoc.Cert	1.0	GIT DOC S.L.	16/09/2011
Tradise Paperless	1.0	Training Digital Security S.L.	19/12/2011
OnBase	11	Hayland Software inc.	15/06/2012
GseDocuCert	1.0	Gabinete de Software EmpreS.A.rial	07/09/2012
GesDocumental	2.0	Informática y DeS.A.rrollo de Software S.L	19/09/2012
FactUM	3.0	Universidad de Murcia	14/09/2012
SDC Oracle	1.0	European Agency of Digital Trust, S.L.	01/10/2012
Idoneo.NET	1.1	AbyS.A.l System S.L.	30/10/2012
Repcon DC	1.0	Semantic Systems S.L.	21/01/2013
GerSoft-DC	1.0	Gersoft Hispania S.L.	20/02/2013
Livelink ECM-digitalización certificada	1.1	Open Text Software S.L. U	02/04/2013
DocGes Digitalización Certificada	1.0	Programación Integral, S.A.	12/04/2013
OnBase	12	Hyland Software Inc.	22/04/2013
Docuware	6.0	DocuWare S.L	15/07/2013
Captio Cert	1.0	Ongest Gestiones y Servicios Internet S.L. ( esta empreS.A. ha cambiado su denominación a CAPTIO TECH S.L.)	09/08/2013
Esker DeliveryWare	6.0	ESKER Ibérica S.L.	04/12/2013
Efacturanet dc	1.0	EVINTIA S.L.	28/03/2014
GesBan Digital	1.0	Ingeniería del software bancario S.L.	03/04/2014
Le Moustache Club (cambia denom.)	1.0	APP TO IU YOU MOBILITY, S.L. (cambia denom.)	04/04/2014
DIGCERT	1.0	Sociedad de Explotación de Redes Electrónica y Servicios S.A.	10/04/2014
ADAR	3.8	Docout S.L.	24/04/2014
EXACCTA (antes Le Moustache Club)	1.0	Le Moustache Club S.L. (Antes APP TO IU MOBILITY)	09/07/2014
Doku4Invoices	1.0	Paina Nuevas Tecnologias S.L.	14/07/2014
MyDocument (Núcleo EdasFacturas)	1.0	DocQuijote Software S.L.	03/09/2014
DocQuijote (Núcleo EdasFacturas)	1.0	DocQuijote Software S.L.	03/09/2014
IVA FREE DigCert	2.0.0	GROWTH TECHNOLOGIES S.L:	04/04/2015
Livelink ECM-digitalización certificada	1.2	Open Text Software S.L.U.	03/12/2014
Invoca Documentum	1.0	INFORMÁTICA EL CORTE INGLES S.A.	16/12/2014
IreneDC	3.0	Manuel Diago García	21/01/2015
EJIDOSOFT DC	1.0	EJIDO SOFT S.L.	12/02/2015
ECS DC	1.0	Electronic Certification Services S.L.	10/03/2015
TICKELIA	1.0	MULTIMOS S.A.	08/04/2015
Digitaldocu-AECID	1.0	Ofimática Digital S.L.U.	10/03/2015
Trans 2000	1.0	MASTERSOFT 2000	29/07/2015
ATMGERES Digitalización Certificada	1.0	ATM2 S.L.	03/09/2015
ANFIX	1.0	Anfix Software S.L.	27/10/2015
GERNOTAS-DC	1.0	GERSOFT HISPÂNIA S.L.	05/11/2015
EDASFACTURAS	3.1	ZEROCOMA S.L.	04/12/2015
LE MOUSTACHE CLUB (cambio ver)	1.1	LE MOUSTACHE CLUB S.L.	22/12/2015
TRAVEL & EXPENSES	7.00.210	UNIT4 Business Software Ibérica S. A.	21/03/2016
BIZHUB (Núcleo EdasFacturas V3.1)	1.0	Konica Minolta Business Solutions Spain s.a.(Acuerdo con Zerocoma S.L.)	06/05/2016
EDAS SCAN PRO	2.0	ZEROCOMA S.L.	31/05/2016
IVAFREE DigCert (Cambio Vers.)	2.1.0	GROWTH TECHNOLOGIES S.L.	10/05/2016
GIFF MODULO DC	1.0	FEDERACION FARMACEUTICA S. COOP. C.L.	13/06/2016
OnBase (act. Algoritmos)	15	HYLAND Software Inc.	13/01/2016
eBit Digitalize	1.0	BIT ON Consultores S.L.	05/09/2016
Continia Digital Documens	1.0	CONTINIA SOFTWARE A/S	22/06/2016
TICKELIA (paso a V13)	13	MULTIMOS S. A.	23/06/2016
MyTickets.	1.0	Indra Sistemas S. A. (esta empreS.A. ha cambiado su denominación a: INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN S.L.U.)	08/09/2016 04/12/2019
Digitaliz@	1.0	SERVINFORM S.A.	03/10/2016
VINCLE-Doc	5.0	VINCLE Internacional de Tecnología y Sistemas S.A.	04/10/2016
S.A.BBATIC DC	1.0	PAOPAO DIGITAL S.L.	03/11/2016
Captio Cert	1.0	CAPTIO TECH S.L., Antes Ongest Gestiones y Servicios Internet S.L.	09/08/2013
Premier Archive	2.0	PREMIER TAX FREE S.A.	21/02/2017
Ticketless	1.0	QUANTUM ECONOMICS S.L.	09/02/2017
CLOUD XPENSES (Nucleo Edas Facturas V3.1)	1.0	CLOUBITY ENTERPRISE SOLUTIONS S.L. (Acuerdo con Zerocoma S.L.)	27/02/2017
NOTILUS HOMOLOGACIÓN	1.0	D.I.M.O SOFTWARE S.A.S OFICINA DE REPRESENTACIÓN EN ESPAÑA	02/03/2017
UpACTiva-Módulo de digitalización certificada	1.0	CHEQUE DEJEUNER ESPAÑA S.A.	07/03/2017
Comarch ECM DC	1.0	COMARCH SOFTWARE SPAIN S.L.U	28/03/2017
XPENDITURE	2.0	EXPENDITURE N.V.	05/04/2017
I-FACT Evolution (SMART SCAN)		INDRA SISTEMAS S.A. – INDRA SOLUCIONES TECNOLOGÍAS DE LA NFORMACIÓN S.L.U.	20/06/2017 04/12/2018
DEVOLUIVA	3.0	DEVOLUIVA S.L.	24/07/2017
CERTIMAGE	1.0	GALEÓN SOFTWARE S.L.	03/10/2017
SEIDOR DC	1.0	SBS SEIDOR S.L.	21/11/2017
Ricoh@Factura (Nucleo Edas Facturas V3.1)	1.0	RICOH ESPAÑA S.L.U.	13/12/2017
Ricoh Expense Manager (Nucleo Captio Cert V1.1)	1.0	RICOH ESPAÑA S.L.U.	15/12/2017
Okticket (Nucleo Edas Facturas V3.1)	1.0	Okticket S.L.	11/01/2018
Dynatos Digitalización Certificada	2.0	DYNATOS IBERIA S.L.	06/04/2018
Reporte Gastos (Nucleo Captio Cert V1.1)	1.0	Konica Minolta Business Solutions Spain s.a. (Acuerdo con Captio Tech S.L.)	22/05/2018
Gastifácil Digitalización Certificada – Cambia su denominación por Xpendor	1.0 2.0	ONEGOLIVE SERVICES S.L.	06/06/2018
DigiFactIn Paso de versión 2.0 a 4.0 por actualización algoritmos	4.0	NOTARNET S.L.	09/07/2018
COIN	1.0	3G SOLUCIONES DE MOVILIDAD S.L.	12/07/2018
SIIFACIL (nucleo DigiFactIn V4.0)	1.0	Analitycs SIIFACIL S.L. (Acuerdo con NOTARNET S.L.)	16/07/2018
TBS.A.GORA DIGCERT	1.0	TBS.AGORA DIGCERT	20/07/2018
APPGASTOS	1.0	TECHEDGE ESPAÑA S.L	26/12/2018
myTE Receipt Processor	1.0	Accenture S.L.U.	21/11/2018
DocBox_DC	1.0	ESPACELAND S.A.	31/10/2018
TGESTO DIGITALIZACIÓN CERTIFICADA	1.2	ENTIDAD IBÉRICA DE GESTIÓN Y RECUPERACIÓN	17/01/2019
Klikair Digitalización Certificada v	1.0	KLIKAIR TECHNOLOGIES, S.L.	29/01/2019
KIMOBOX	1.0	GESTIÓN EXTERNA DE SISTEMAS S.L.	04/03/2019
Solpheo Suite (Núcleo EdasFacturas V3.2)	1.0	KYOCERA DOCUMENT SOLUTIONS ESPAÑA S.L.U.	21/03/2019
GESDOC V 1.0	1.0	ZITU INFORMATIKA S.L.	03/04/2019
BOOX	2.0	CONSULTORÍA Y COMUNICACIONES DE NAVARRA S.L.	11/04/2019
EXPENSYA	1.0	EXPENSYA	16/05/2019
S.A.P CONCUR RECEIPTS DIGITALIZACIÓN	1.0	S.A.P. ESPAÑA S.A., SISTEMAS, APLICACIONES Y PRODUCTOS EN LA INFORMÁTICA, S.A	13/06/2019
Cytric Travel & Expense – Certified Digitization Engine	1.0	AMADEUS IT GROUP S.A.	12/07/2019
IScanCert	1.0	IMAGINE CONSULTING S.L.	16/08/2019
TICKELIA (paso a V18.8)	18.8	MULTIMOS S. A.	06/11/2019
LIVE COUPONING DC	1.0	PIERRE FABRE IBERICA, S.A.	28/01/2020
DocShare – Gestión Documental (Núcleo EdasFacturas V3.1)	1.0	Konica Minolta Business Solutions Spain S.A. (Acuerdo con Zerocoma S.L.)	13/02/2020
CONTASIMPLE	1.0	CONTASIMPLE S.L.	26/02/2020
COIN	1.0	3G SOLUCIONES MOVILIDAD, S.L.U.	20/04/2020
AUTENTICA	1.2	GIDOC INTEGRAL S.L.	27/04/2020
Gastifácil Digitalización Certificada	1.0	ONEGOLIVE SERVICES S.L.	04/05/2020
YOOZ	2.0	YOZ S.A.S Representado por: ENIAC OPTIMIZACION DE COSTES S.L.	19/05/2020
SCAN2CERT (nucleo DigiFactIn V4.0)	1.0	CANON ESPAÑA S.A.U. (Acuerdo con NOTARNET S.L.)	08/06/2020
FUELL DIGITALIZACIÓN CERTIFICADA	1.0	Fuell Technologies S.L.	09/06/2020
INVOICE SYSTEM DIGITALIZACIÓN CERTIFICADA	1.0	PAVABITS S.L.	16/06/2020
Captio Cert (Continuidad)	1.2	CAPTIO TECH S.L., Antes Ongest Gestiones y Servicios Internet S.L.	03/07/2020
MobileXpense	5.0	MobileXpense NV/S.A. Representado por Landwell – Ricewaterhousecoopers Tax & Legal Services S.L.	21/07/2020
S.A.BBATIC DC	1.2	PAOPAO DIGITAL S.L.	31/07/2020
TOQIO	1.4.0	TOQIO FINTECH S.L.	18/09/2020
WINFOR DIGITALIZACIÓN CERTIFICADA)	1.0	WINFOR S.L.U.	07/10/2020
Continia Digital Documens continuidad	2.0	CONTINIA SOFTWARE A/S	13/10/2020
DCF	1.0	DRAGADOS S.A.	20/10/2020
CLOVERDOC	3.1	CLOVER DOC S.L.	29/10/2020
APP ANDROID AP APPLE	2.4 2.4	TRAMITAPP S.L.	17/11/2020
MOBILEEXPENSES	1.0	BIAL – PORTELA & CA, S.A Representado por: Laboratorios Bial S.A.	04/12/2020
HERA EMPLEADOS	3.5	NETKIA SOLUCIONES S.L.	30/12/2020
OnBase Digitalización Certificada	1.0	Hyland Software UK Ltd	20/01/2021
Pleo	1.0	Pleo Technologies S.L.	25/01/2021
365AGILEEXPENSES núcleo EdasFacturas 3.1	1.0	Elite de Negocios Tecnológicos, S.L.	03/02/2021
Payhawk	1.0	Payhawk EOOD	17/03/2021
Neo Expense Mobile V 21.1	21.1	Klee Data System SAS	22/05/2021

Public Key of Spain CSCA for European digital COVID certificate

2 respuestas

In order to configure DGCG (Digital Green Certificate Gateway) participating countries need to deliver information regarding CSCA (Certificate Signing Certificate Authority), and specifically Public Key of the certificate of the CA used to sign the DSC (Document Signing Certificate) of every Body in charge of issuing DGC (Digital Green Certificates) . Remember that Health CSCA is different from CSCA used in Passports although both environments use similar terminology.

The ECC p-256 Public Key of Spain CSCA to be used for European Digital Green Certificates is

—–BEGIN PUBLIC KEY—–MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1rjpdfCTyXE8RdrbW8rbLagURmGQerDBqh0WEaRCaJpqDuqKy0Zs1fXBhSPJQ4334X0TdMAWBIoLnLBC2up9Lg==
—–END PUBLIC KEY—–

Principles regarding validity

Rule 0: A certificate needs to be valid when it is used to sign/seal.
Rule 1: The DSC needs to be valid longer than anything it signs. So, the DSC expiry date must be >= than expiration date of the document it signs.
Rule 2: The CSCA needs to be valid longer than any DSC it signs.
Rule 3: If any certificate has a shorter ‘key usage period’ – then the signature has to be created in that period.

More info:

Technical documents of Digital Green Certificates – COVID-19 in eHealth Section of European Commission web site.

Para más información: +34 91716055

Uso de certificados electrónicos para la firma electrónica de certificados verdes digitales

1 respuesta

Se recogen seguidamente varias recomendaciones, basadas en documentos publicados por la Comisión Europea (actualización 2022, el enlace no funciona: este el nuevo contenido sobre EU Digital COVID Certificate) en relación con la arquitectura de seguridad de los «pasaportes COVID», o «Certificados Verdes Digitales» (CVD) que es su actual denominación.

La información de este artículo puede entenderse mejor en relación con el que publiqué hace unos días: El “Certificado Verde Digital” para circular en tiempos de pandemia COVID-19 dentro de la UE.

La información recogida en este artículo está especialmente enfocada a las entidades españolas que participan en el proyecto y pretende aclarar algunas dudas sobre el uso de certificados.

Tipos de certificados a utilizar.

Las entidades deben disponer de un certificado basado en criptografía de curva elíptica con tamaño de clave de 256 bits, y es deseable que tengan también otro certificado basado en criptografía RSA, con tamaño de clave de 2048 bits para situaciones de contingencia. Esta recomendación se indica en las páginas 5 y 6 del documento «Guidelines on Technical Specifications for Digital Green Certificates – Volume 1«

En España, es recomendable que, en el caso de las administraciones públicas, se utilicen certificados cualificados de sello de órgano del tipo indicado (ECC o RSA). Las entidades privadas deberían optar por un certificado de sello electrónico para persona jurídica. Estos certificados se denominan «Document Signing Certificates (DSCs)» en los documentos técnicos del proyecto. La codificación de caracteres debe basarse en el formato UTF-8. Con esta codificación no debería haber problema con los acentos de los nombres de los organismos en el campo «Common Name», «Organization», «Organization Unit» aunque teniendo en cuenta que es un proyecto internacional puede ser más sencillo para usuarios de otros países si no se usan acentos.

España ya tiene definida la CSCA (Certificate Signing Certificate Authority) para la emisión de certificados. Las entidades que emitan certificados digitales de vacunación, de pruebas diagnósticas de estar o haber estado infectado por COVID-19, o de haber superado la dolencia, deberían contactar con el Ministerio de Sanidad para coordinar su participación. La CSCA española está basada en certificados cualificados EIDAS, con una arquitectura diferente a la orientada a los sistemas eMRTD (electronic Machine Readable Travel Documents) de ICAO que inspiraron inicialmente el modelo de PKI adoptado para el «Digital Green certificate».

Cada país tiene flexibilidad para definir el modelo de confianza que adoptará, pudiendo incluso tener más de una CSCA.

Se recomienda que las entidades firmantes de certificados HCERT (Electronic Health Certificate Container, denominación que aplica a los certificados verdes digitales, junto con DGC, Digital Green Certificate) utilicen dispositivos HSM para la custodia de claves privadas.

En las firmas realizadas con el DSC sobre el HCERT se debe incluir el dato «Expiration time» que indica la fecha límite en la que se acepta el certificado verde digital por quienes comprueban sus datos (en trámites fronterizos o de otro tipo). Esta fecha debe ser menor que la fecha de expiración del DSC. Ver página 6 del documento indicado anteriormente.

También se incluye el campo «Issued At«. Esta fecha es la de emisión de certificado y no puede ser anterior a la fecha de emisión del DSC. Ver página 6 del documento indicado anteriormente.

Existe una recomendación que sugiere adquirir certificados DSC de 2 años y utilizarlos por 6 meses para firmar los HCERT. No obstante, si se limita la validez de los HCERT a 6 meses, los DSC de 2 años se podrían utilizar durante 18 meses.

Contacte con el +34 91 716 0555 si necesita información adicional.

El «Certificado Verde Digital» para circular en tiempos de pandemia COVID-19 dentro de la UE

3 respuestas

El «Certificado Verde Digital» (Digital Green Certificate) es un documento híbrido, que se puede usar con soporte cartáceo o digital (app móvil) para indicar si un viajero está vacunado contra el COVID-19, se ha realizado tests para comprobar que no está infectado o ha superado la enfermedad. Facilitará la seguridad y la libre circulación durante la pandemia originada por el virus SARS-CoV-2 dentro de la UE.

El Certificado Verde Digital puede utilizarse en todos los Estados miembros de la UE. También se podrá adoptar en Islandia, Liechtenstein, Noruega y Suiza.

El Certificado Verde Digital estará abierto a otras iniciativas que se desarrollen a nivel mundial.

Green Digital Certificate – paper and App

A continuación se presentan algunas preguntas y sus respuestas, relativas al «Certificado Verde Digital» por el COVID-19

¿Cuáles son las características del Digital Green Certificate?

El sistema Digital Green Certificate permite certificar en un solo instrumento tres tipos situaciones diferentes referidas a la posibilidad de contagiar la enfermedad COVID-19: un certificado de vacunación, un certificado de resultado de test de estar o haber estado infectado y un certificado de recuperación de la enfermedad.
Pueden emitirse y utilizarse en todos los Estados miembros de la UE para facilitar la libre circulación. Todos los ciudadanos de la UE y sus familiares, así como los nacionales no pertenecientes a la UE que permanezcan o residan en los Estados miembros y tengan derecho a viajar a otros Estados miembros, podrán recibirlos de forma gratuita.
Los certificados sólo deben incluir un conjunto mínimo de información necesaria para confirmar y verificar respecto al titular su estado de vacunación, del resultado de pruebas (como PCR) o de haber superado la enfermedad.
Vacunarse no será una condición previa para viajar. Todos los ciudadanos de la UE tienen un derecho fundamental a la libre circulación en la UE y esto se aplica independientemente de si están vacunados o no. El mismo principio se aplica a los derechos de los nacionales no pertenecientes a la UE que permanezcan o residan en los Estados miembros de la UE y que tengan derecho a viajar a otros Estados miembros.

¿Cómo ayudará a facilitar la libre circulación segura?

El Certificado Verde Digital acredita que el viajero cumple ciertos requisitos que pueden ser exigidos por un país para no aplicarle restricciones a la libre circulación por motivos de salud pública, como la realización de pruebas de infección en el país de destino o el cumplimiento de períodos de cuarentena en situación de confinamiento.

Si un Estado miembro acepta pruebas de vacunación del propio estado para no aplicar restricciones a la libre circulación, tendrá que aceptar las pruebas de vacunación emitida por otro Estado miembro en relación con las vacunas que hayan recibido autorización del mercado de la UE.

Los Estados miembros tienen la opción de facilitar la libre circulación a viajeros que hayan recibido otras vacunas.

Al viajar, todo titular del Certificado Verde Digital tendrá los mismos derechos de movilidad que los ciudadanos del Estado miembro que visita según se les exija estar vacunados, haberse hecho tests o acreditar que han superado la enfermedad.

Si un Estado miembro exigiera a los titulares de un certificado verde digital que se confinen en cuarentena o realicen nuevas pruebas de infección, deberá notificarlo a la Comisión y a todos los demás Estados miembros junto con la motivación para aplicar dichas medidas excepcionales.

¿Cómo se asegura de que las personas no vacunadas no sean discriminadas al ejercer su derecho a la libre circulación?

Para garantizar que se respete el derecho a la libre circulación en la UE y que no haya discriminación contra las personas que no están vacunadas, pero que se hayan sometido a otros controles, la Comisión propone que el certificado refleje diferentes situaciones.

Las personas que no estén vacunadas deberán poder seguir ejerciendo sus derechos de libre circulación, cuando sea necesario, aunque puedan aplicarse limitaciones como pruebas adicionales en el país de destino o confinamiento a la entrada del pais durante un cierto período.

¿La introducción del Certificado Verde Digital significa que los Estados miembros tendrán que reintroducir los controles en las fronteras interiores para comprobar los certificados?

No. El Certificado Verde Digital tiene por objeto facilitar la libre circulación dentro de la UE y la flexibilización de las restricciones actuales, no restringir los derechos a la libre circulación y el derecho a viajar.

La verificación de los certificados no puede justificar, por sí sola, la reintroducción temporal de controles fronterizos en las fronteras interiores, y tales controles no son necesarios para que los Estados miembros apliquen el Certificado Verde Digital.

¿Qué información incluirá el Certificado Verde Digital?

El Certificado Verde Digital contendrá la información clave necesaria, como el nombre, la fecha de nacimiento, el Estado miembro emisor y un identificador único del certificado. Además:

Para un certificado de vacunación: producto inoculado y fabricante, número de dosis, fechas de vacunación;
Para un certificado de test: tipo de prueba, fecha y hora de prueba, centro de pruebas y resultado;
Para un certificado de recuperación: fecha del resultado positivo de la prueba, emisor del certificado, fecha de emisión, fecha de validez.

¿Cómo será el formato del Certificado Verde Digital?

Los certificados se emitirán en formato digital, por lo que se pueden mostrar en un smartphone, o en papel, dependiendo de la preferencia de su titular. Los certificados contendrán un código QR interoperable y legible por máquina que contiene los datos clave necesarios, y que contendrá una firma digital. El código QR se utiliza para verificar de forma segura la autenticidad, integridad y validez del certificado. Para mejorar la aceptación transfronteriza, la información sobre el certificado debe escribirse en los idiomas del Estado miembro emisor y en idioma inglés.

¿Cómo funciona el Certificado Verde Digital en toda la UE?

El Certificado Verde Digital contiene un código QR con una firma digital (en este caso, sello digital, porque lo emiten personas jurídicas) para protegerlo contra la falsificación. Cuando se muestra el certificado, se escanea el código QR y se verifica el sello electrónico generado por el organismo emisor del certificado verde digital.

Cada organismo emisor (por ejemplo, un hospital, un laboratorio que realices tests, una autoridad sanitaria) realizará su propio certificado con un sello electrónico basado en criptografía de curva elíptica. Los organismos emisores deben contar con un sistema que genere el sello electrónico en base a una clave privada asociada a un certificado de clave asimétrica según el algoritmo ECC p-256.

Los certificados expedidos por los diferentes organismos de un país se almacenan en una base de datos segura de dicho país.

La Comisión Europea construye una pasarela que permite verificar los sellos electrónicos de los certificados verdes de cualquier país de la UE. Los datos personales del viajero no circulan por la pasarela ya que no son necesarios para comprobar el sello electrónico.

La Comisión Europea prepara en Github una implementación modelo en código abierto para apoyar a los Estados miembros de forma que los distintos organismos puedan puedan desarrollar sus propias implementaciones, tanto para generar los certificados como para escanear los códigos QR y comprobar su autenticidad.

¿Qué vacunas serán aceptadas?

Los Estados miembros deben expedir certificados de vacunación independientemente del tipo de vacuna COVID-19.

Cuando los Estados miembros acepten pruebas de vacunación para renunciar a determinadas restricciones de salud pública, como las pruebas o la cuarentena, estarían obligados a aceptar, en las mismas condiciones, certificados de vacunación expedidos en el marco del sistema de Certificados Verde Digitales. Sin embargo, esta obligación se limitaría a las vacunas que han recibido la autorización de comercialización a escala de la UE. Los Estados miembros tienen la opción de aceptar certificados de vacunación expedidos en relación con otras vacunas.

¿Qué pruebas covid-19 serán aceptadas?

Para garantizar la fiabilidad del resultado de la prueba, sólo se admiten los resultados de las denominadas pruebas NAAT (incluidas las pruebas RT-PCR) y las pruebas rápidas de antígeno, que figuran en la lista establecida sobre la base de la Recomendación 2021/C 24/01 del Consejo.

¿Qué pasa con las puebas que se compran en farmacias y se puede hacer uno mismo?

Dado que las autopruebas no se realizan en condiciones controladas se consideran menos fiables y no es posible responsabilizar de esas pruebas a un organismo emisor de certificados verdes digitales.

¿Habrá una validez mínima de los certificados?

El período de validez de los certificados depende de la evidencia científica respecto a la posibilidad de que un viajero transmita la enfermedad, según la prueba realizada, la recuperación de la enfermedad o la vacunación, lo que establecerá cada estado miembro y validará la pasarela común.

A medida que surjan nuevas pruebas científicas, podrían ajustarse los períodos para los que los certificados se consideren válidos.

El Reglamento propuesto garantiza que los certificados expedidos por otros Estados miembros se acepten siguiendo las mismas normas que los aplicados a los certificados expedidos a nivel nacional. El Reglamento también introduce algunos principios básicos, por ejemplo, que establecen el período máximo de validez del certificado de recuperación en 180 días.

Estos principios podrían ajustarse más adelante por la Comisión mediante actos delegados para alinearse con nuevas pruebas científicas una vez que estén disponibles.

¿Qué pasará con aquellas personas que ya han sido vacunadas?

Las personas que hayan sido vacunadas antes de que se ponga en marcha el Certificado Verde Digital también deben tener la posibilidad de obtener el certificado de vacunación necesario. Si recibieron un certificado de vacunación que no cumplía las normas de interoperabilidad exigidas en virtud del Reglamento, podrán solicitar uno nuevo.

por otro lado, los Estados miembros podrán seguir emitiendo pruebas de vacunación en otros formatos para otros fines, en particular con fines médicos.

¿Durante cuánto tiempo estará vigente el Certificado Verde Digital?

Los certificados están vinculados a la pandemia COVID-19. El sistema de Certificados Verdes Digitales se suspenderá una vez que la Organización Mundial de la Salud (OMS) declare el fin de la emergencia internacional de salud pública causada por covid-19. Del mismo modo, si la OMS declara una nueva emergencia internacional de salud pública causada por covid-19, una variante de la misma o una enfermedad infecciosa similar, el sistema podría reactivarse.

¿Cuánto cuestan los Certificados Verdes Digitales?

Los certificados serán gratuitos.

Los Estados miembros asumen el coste de la creación de la infraestructura a nivel nacional. La Comisión Europea proporcionará financiación para apoyar a los Estados miembros en la creación de la infraestructura requerida, si es necesario.

La Comisión asumirá la creación de la pasarela de comprobación de certificados para toda la UE y apoyará a los Estados miembros para que desarrollen programas informáticos para emitir y comprobar los códigos QR.

¿Cómo se garantiza la interoperabilidad de los Certificados Verdes Digitales?

La interoperabilidad se logra partiendo de cierto nivel de de normalización de especificaciones consensuadas, pariendo de políticas y reglas comunes.

Cualquier certificado expedido en un Estado miembro puede verificarse en otro Estado miembro. Cada estado dispone de cierta flexibilidad para diseñar sus certificados siempre que cumplan las normas comunes.

Los Estados miembros, con el apoyo de la Comisión, acordaron un marco de confianza para garantizar la aplicación oportuna de los Certificados Verdes Digitales, su interoperabilidad y el pleno cumplimiento de la protección de datos personales. Esto se basa en directrices sobre elementos básicos de interoperabilidad que se adoptaron el 27 de enero de 2021 y se actualizaron el 12 de marzo de 2021.

La pasarela desplegada por la Comisión para la verificación de los certificados verdes es uno de los componentes de la interoperabilidad.

¿Será compatible el Certificado Verde Digital con otros sistemas desarrollados a nivel internacional?

La Comisión persigue que los certificados sean compatibles con sistemas de terceros países fuera de la UE. La propuesta está abierta a iniciativas mundiales y tiene en cuenta los esfuerzos en curso de organismos especializados de las Naciones Unidas como la Organización Mundial de la Salud (OMS) y la Organización de Aviación Civil Internacional (ICAO), para establecer especificaciones y orientación sobre el uso de tecnologías digitales para documentar el estado de vacunación y otra información que permita considerar bajo el potencial de contagio de un viajero.

Se anima a terceros países a reconocer el Certificado Verde Digital europeo para facilitar la movilidad de los viajeros y reducir las restricciones.

El texto legal del Reglamento se incorporaría al Acuerdo EEE, Espacio Economico Europeo, permitiendo a los países del que forman parte del EEE (Islandia, Liechtenstein y Noruega) aplicar el sistema de certificados verdes digitales de la UE. Por lo que respecta a Suiza, la Comisión podrá decidir aceptar certificados suizos expedidos de conformidad con el proyecto de Reglamento del Certificado Verde Digital, basado en el principio de reciprocidad.

Ese mismo principio de reciprocidad favorece el reconocimiento de certificados expedidos por terceros países a los ciudadanos de la UE y a sus familiares, cuando dichos certificados cumplan los estándares de calidad y sean interoperables con el marco de confianza de la UE.

¿Cómo se procesarán los datos personales?

Dado que los datos personales contenidos en los certificados incluyen datos médicos sensibles, se garantiza un nivel muy alto de protección de datos.

Los certificados solo incluirán un conjunto limitado de información personal necesaria. Esta información no puede ser extraída de los pasaportes verdes por los países a los que llega el viajero. A efectos de verificación, solo se comprueba la validez y autenticidad del certificado, verificando quién lo emitió y selló digitalmente. Todos los datos sanitarios permanecen en el Estado miembro que emitió el Certificado Verde Digital.

El sistema de certificados verde digitales no requiere de la creación y el mantenimiento de una base de datos de certificados sanitarios a nivel de la UE.

¿Se emite el Certificado Verde Digital a ciudadanos de países no pertenecientes a la UE?

Sí. El Certificado Verde Digital se expide a los familiares de los ciudadanos de la UE, independientemente de su nacionalidad y a residentes en Estados miembros o Estados asociados a Schengen. También a los visitantes que tengan derecho a viajar a otros Estados miembros. Son necesarias bases jurídicas separadas para dar la misma cobertura a todas las personas presentes en la UE independientemente de su nacionalidad, o la razón por la que están en la UE.

El Certificado Verde Digital también podría expedirse a nacionales o residentes de Andorra, Mónaco, San Marino y el Vaticano/Santa Sede, en particular cuando sean vacunados por un Estado miembro.

¿Cómo afecta el certificado verde al viaje a la UE desde terceros países?

Por el momento, los viajes no esenciales a la UE están restringidos a terceros países, a excepción de un número limitado de países. Un nacional no perteneciente a la UE que pueda viajar a la UE puede obtener un certificado verde digital. El nacional no perteneciente a la UE podría solicitar un Certificado Verde Digital a un Estado miembro al que viaja, proporcionando toda la información necesaria, incluida una prueba fiable de vacunación. A continuación, el Estado miembro tendría que evaluar si se ha proporcionado pruebas fiables y decidir si expide o no un Certificado Verde Digital.

A medio plazo, cuando la Comisión esté convencida de que los certificados expedidos un tercer país cumplen normas y usan sistemas internacionales interoperables con el de la UE, la Comisión puede realizar un acto de ejecución basado en el Reglamento que se aprueb. A continuación, dichos certificados de terceros países se aceptarían en las mismas condiciones que los Certificados Verde Digital.

En todos los casos, las normas de aceptación de la prueba de vacunación serían las mismas que para los nacionales de la UE: las vacunas que han recibido autorización de comercialización a escala de la UE deben ser aceptadas, pero los Estados miembros pueden decidir aceptar o nos otras posibles vacunas.

¿Cómo son los certificados de clave pública que utilizan las entidades sanitarias?

Aunque inicialmente las especificaciones del modelo de confianza se orientaron para ser similares al utilizado en el pasaporte digital descrito en el Documento 9303 de ICAO (OACI), finalmente se ha optado por flexibilizar el modelo dando cabida a los certificados EIDAS (Reglamento (UE) 910/2014).

En base a esta posibilidad, se admiten certificados cualificados de sello de órgano o certificados cualificados de persona jurídica para sello que se basen en Criptografía de Curva Elíptica (ECC p-256).

Se han definido varios OID opcionales para incluir en la sección «Extended Key Usage» de los certificados emitidos a organismos que no vayan a emitir alguna variante de certificado verde.

Inicialmente se han definido estos:

OID 1.3.6.1.4.1.0.1847.2021.1.1 — valid for test
OID 1.3.6.1.4.1.0.1847.2021.1.2 — valid for vaccinations
OID 1.3.6.1.4.1.0.1847.2021.1.3 — valid for recovery

Sin embargo estos OID tienen un error, por lo que desde el punto de vista de la verificación puede ser que los certificados incluyan los OID indicados (incorrectos) o los correctos:

OID 1.3.6.1.4.1.1847.2021.1.1 — valido para certificados que indiquen resultados de test
OID 1.3.6.1.4.1.1847.2021.1.2 — valido para certificados que indiquen vacunación
OID 1.3.6.1.4.1.1847.2021.1.3 — valido para certificados que indiquen que se ha superado la enfermedad

Si no se incluye ningún OID (que es lo recomendado en esta fase) el certificado ECC se podrá usar para realizar el sello electrónico del certificado verde con cualquiera de las variantes.

Contacte con el +34 91 716 0555 si necesita certificados de persona jurídica ECC p-256 para su entidad, para realizar los sellos electrónicos del Certificado Verde Digital (Pasaporte COVID-19).

Referencias

Este documento se basa en la información publicada por la Unión Europea:

Documentos en español:

Hay, además otros documentos relacionados:

Thales anuncia la certificación EIDAS para firma remota de sus HSM

Deja un comentario

El Módulo de Seguridad de Hardware (Hardware Security Module, HSM) de Thales denominado Luna v.7.7.0 ya está certificado de acuerdo con los Criterios Comunes (Common Criteria, CC) en el nivel EAL4+ contra el Perfil de Protección (PP) EN 419 221-5 de los Servicios de Identificación, Autenticación y Confianza electrónicos (eIDAS). Además de la certificación CC, Luna HSM 7 también ha recibido la certificación eIDAS como dispositivo cualificado de creación de firmas y sellos (Qualified Signature/Seal Creation Device QSCD).

Los HSM Luna (de las generaciones 6 y 7, anteriormente englobados bajo la marca Safenet) ya habían conseguido certificaciones como QSCD independiente, o como parte de un QSCD de firma remota formado por módulos creados por entidades terceras que los incluían en su configuración. Han certificado su validez entidades de evaluación de conformidad de Austria, Italia y España, según lo previsto en el artículo 30.3.b (Procesos alternativos) del Reglamento EIDAS.

Los prestadores de servicios de confianza cualificados (Qualified Trust Service Providers, QTSP), así como las empresas públicas o privadas que emiten certificados digitales y proporcionan firmas y sellos digitales sobre servidores propios o remotos (avanzados y cualificados), sello de tiempo, entrega electrónica y servicios de autenticación de sitios web, pueden utilizar ahora los HSM Luna 7 como parte de su solución alineada con eIDAS.

Esta certificación CC EAL4+ de la familia de HSMs Luna es la quinta en cuatro generaciones de productos (Luna CA3, Luna 4, Luna 5/6 y ahora Luna 7).

Esta última versión de HSM Luna incluye funciones útiles para operaciones eIDAS de gran volumen, que requieran alto rendimiento, y funcionalidades como la autorización por clave (per-key authorization, PKA) y el almacenamiento escalable de claves (scalable key storage, SKS), funciones utilizadas por los sistemas que gestionan firmas remotas en nombre del titular del certificado.

Los Prestadores de Servicios de Confianza (Trust Service Providers – TSP) que adopten estos HSM de Thales pueden certificar sus soluciones de firma remota conPerfil de Protección Common Criteria EN 419 241-2 (perfil de protección para QSCD diseñado para la modalidad de firma electrónica en servidor), o en el caso de una certificación eIDAS existente (en base al artículo 30.3.b, procesos alternativos), ampliar su lista de certificaciones con esta nueva certificación Common Criteria.

La certificación en base al Perfil de Protección Common Criteria EN 419 221-5 “Cryptographic Modules for Trust Services” (Módulos criptográficos para servicios de confianza) puede utilizarse como certificación independiente o como base para una certificación CC de mayor alcance según el Perfil de Protección EN 419 241-2 para servicios de firma y sellado electrónico remotos. La norma EN 419 241-2 exige el empleo de un módulo criptográfico, como un HSM, destinado a ser utilizado por los TSP en apoyo de las operaciones de firma electrónica y sellado electrónico, que esté certificado conforme a la norma EN 419 221-5.

Además, los artículos 30 y 31 del reglamento eIDAS dictan que «La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos [de la UE] […] será certificada por los organismos públicos o privados adecuados designados por los Estados miembros». Luna HSM 7 está publicado en la lista del artículo 31 de eIDAS, promoviendo su uso como QSCD certificado.

El uso de un equipamiento de HSM basado en la nube o en las instalaciones de la entidad que lo adopta es una forma excelente de cumplir con el eIDAS y tiene muchas ventajas, pero se exige que el HSM esté certificado como dispositivo QSCD.

En los entornos de trabajo remotos existe la necesidad de acceder a las claves de firma digital en cualquier momento y lugar. Los HSM se utilizan para gestionar y proteger las claves de firma privadas de sus titulares, sin que el firmante deba preocuparse por su custodia (como ocurre cuando se utilizan tarjetas inteligentes). Sus claves se mantienen en el perímetro del Prestador de Servicios de Confianza (protegidas por el HSM) y con sujeción a la evaluación periódica del prestador.

HSMs Luna

Además de los requisitos a los HSM impuestos por el Reglamento eIDAS mencionados anteriormente, que requieren su evaluación de conformidad, los HSM de red y de tarjeta PCIe de Luna proporcionan altos rendimientos, protección de claves de alto nivel de aseguramiento y la administración y supervisión centralizada de las operaciones de criptografía necesarias para gestionar firmas electrónicas, sellos electrónicos y otros servicios de confianza y resultan necesarios para proporcionar servicios eIDAS.

Noticia comunicada por Thales (artículo de Hermann Bauer) .

La revista «Escritura Pública» cumple 20 años

Deja un comentario

La revista Escritura PÚBLICA que edita el Consejo General del Notariado y dirige Ana Togores ha cumplido en enero de 2021 nada menos que 20 años. Dos décadas en las que no ha faltado ni una sola vez a su cita con sus lectores, repartidos por toda España, al igual que los notarios y sus notarías. Yo soy uno de esos lectores y tengo el privilegio de recibirla puntualmente.

Escritura PÚBLICA ha tratado de ser punto de encuentro entre el Notariado y la Sociedad. En sus páginas se han analizado muchos de los acontecimientos sociales, económicos, políticos y jurídicos vividos estos años, siempre desde el rigor y la seriedad. Por la revista han pasado los representantes de las principales instituciones del país y de Europa, que han dejado en ella interesantes reflexiones y sabios consejos.

En 2018 el esfuerzo de todo el equipo se vio recompensado con el Premio a la Mejor Publicación Profesional de la Asociación de Editores de Publicaciones Periódicas y en 2020 se ha producido un hito relevante en el proceso de digitalización ya que se ha creado su versión online www.escriturapublica.es para llegar a más lectores y tener presencia en más canales.

En el número de enero y febrero de 2021 se incluye un cuadernillo para celebrar el vigésimo aniversario.

Mis felicitaciones al Consejo General del Notariado y al equipo:

COMITÉ EDITORIAL

Francisco Cantos Viñals, Raimundo Fortuñy Marqués, Pedro Galindo Gil, José Luis Lledó González, Isabel Louro García, Álvaro Lucini Mateo, Pedro Martínez Pertusa, Leopoldo Martínez de Salinas, José Ángel Martínez Sanchiz, Ubaldo Nieto Carol, Juan Pérez Hereza, Jorge Prades López, César Sanz Pérez y Ana Togores Guisasola.

DIRECTORA
Ana Togores Guisasola

RESPONSABLE DE REDACCIÓN Y EDICIÓN
José Martínez Carrascosa

CORRECTORA Y RESPONSABLE ONLINE
Marta Arroyal García de Ceca

COLABORADORES
Elvira Arroyo, Juan Arza, Carlos Capa, Gabriel Cruz, Melchor del Valle, Julián Díez, Alfredo García Reyes, Fernando Geijo, Amador Gómez, Marian Lezaún, Juan Antonio Llorente, Jesús Ortiz, Diego Pérez, Marta Ruiz-Castillo, Jorge Valero.

DISEÑO Y MAQUETACIÓN
Zona Impresa, S.L.

ILUSTRACIONES
José Manuel Esteban

IMPRESIÓN Y DISTRIBUCIÓN
Editorial MIC

PUBLICIDAD
Editorial MIC – mic@editorialmic.com

FOTOGRAFÍA
Manuel Charlón e Ilustration Stock

ARCE, Archivo de Constancias Electrónicas, un buen ejemplo

Deja un comentario

Desde hace casi 20 años estoy pendiente del concepto «ARCE, Archivo de Constancias Electrónicas«, acuñado probablemente en el Ministerio de Ciencia y Tecnología en la época de Anna Maria Birulés i Bertran, Josep Piqué Camps o Juan Costa Climent.

La primera mención al «ARCE» en el BOE es de la época en que la denominación del Ministerio era «Ministerio de Industria, Turismo y Comercio». Se trata de la Orden ITC/1475/2006, de 11 de mayo, sobre utilización del procedimiento electrónico para la compulsa de documentos en el ámbito del Ministerio de Industria, Turismo y Comercio.

Para mi es una de las normas seminales que inauguran de verdad la digitalización de la administración, ya que trata con detalle de la digitalización de los documentos en papel con carácter de auténtico a partir del concepto de «compulsa» por funcionario público. Y el manejo en papel de los documentos de procedencia digital.

El precedente directo era el Artículo 8 (Almacenamiento de documentos) del Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado.

En mis cursos y seminarios, especialmente cuando trato de los conceptos de Diplomática Digital, el ARCE lo menciono siempre.

Sin embargo, uno de los retos que encaran las administraciones públicas, especialmente significativo en el caso de la digitalización, es el de construir de cara a los ciudadanos experiencias de usuario consistentes. Y no me quiero quedar con una frase generalista. Me refiero a que cada vez que cambian los nombres de los ministerios con cada gobiero, o se reorganizan las secretarías de estado que pasan de unos ministerios a otros, cambian los dominios internet que hacen referencia a los ministerios con nuevas siglas.

Y un aspecto esencial de la administración como la posibilidad de cotejar un CSV (Código Seguro de Verificación) de un documento electrónico se distorsiona porque el punto de cotejo (la página a la que se accede para comprobar la autenticidad de un documento) puede haber cambiado de nombre y de URL en alguna de las reorganizaciones del gobierno, especialmente tras unas elecciones.

Por eso, desde hace varios años sugiero (lo señalo en mis cursos) que se definan URLs genéricas para el servicio de cotejo, que hagan uso de denominaciones genéricas no vinculadas al nombre del Ministerio ni de la Secretaría de Estado.

Por eso ahora quiero referirme a la URL https://serviciosmin.gob.es/arce/ que en cierto modo implementa esta idea. En el Ministerio de Energía, Turismo y Agenda Digital (vigente desde el 4 de noviembre de 2016 hasta el 7 de junio de 2018) se incluían estas Secretarías de Estado:

Secretaría de Estado de Energía.
Secretaría de Estado para la Sociedad de la Información y la Agenda Digital.
Secretaría de Estado de Turismo

Que quedaron repartidas en varios Ministerios en el gobierno vigente en la actualidad:

La Secretaría de Estado de Energía pasó al «Ministerio para la Transición Ecológica y el Reto Demográfico»
La Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, pasó a dividirse en 2, la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y la Secretaría de Estado de Digitalización e Inteligencia Artificial, formando ambas parte del Ministerio de Asuntos Económicos y Transformación Digital.
La Secretaría de Estado de Turismo se quedó en el «mismo» ministerio, que pasó a llamarse «Ministerio de Industria, Comercio y Turismo», y que acogió otras secretarías de estado procedentes de otros ministerios.

Por tanto, los servicios informáticos que estaban en un mismo ministerio atendiendo a varias secretarías de estado, tuvieron que hacer encaje de bolillos para no interrumpir el servicio que ya correspondía a varios ministerios.

Además otros movimientos de secretarías de estado han generado retos similares.

Así que la denominación https://serviciosmin.gob.es/arce/ ya no hace referencia a un Ministerio en particular.

Mi sugerencia es que https://arce.gob.es bien podría ser el punto de cotejo de CSVs de todos los Ministerios, sea cual sea su denominación. Seguro que la adaptación informática no es muy compleja, especialmente si se empiezan a adoptar los Códigos de Verificación Enrutables.

Los organismos públicos españoles no gestionan correctamente los certificados cualificados

2 respuestas

No estoy seguro de que la afirmación se pueda generalizar a «TODOS» los organismos públicos, pero sí a la inmensa mayoría.

Desde hace unos cuantos años, muchos organismos públicos publican una lista de los Prestadores de Servicios de Certificación cuyos certificados admiten para realizar gestiones en su sede electrónica.

La mera existencia de una lista ya es sospechosa, porque es muy difícil mantenerla actualizada, salvo que se haga referencia a la herramienta publicada por la Comisión Europea que permite visualizar los Prestadores de Servicios de Certificación Cualificados de todos los estados miembros: https://webgate.ec.europa.eu/tl-browser/#/

La existencia de la lista da a entender que solo se admiten algunos prestadores españoles, pero si fuera así, sería ilegal.

Algunos organismos hacen referencia a que admiten los certificados que gestiona la plataforma @firma, pero esta plataforma tampoco está siendo diligente en la gestión de certificados. Y aunque con cierta frecuencia publica nuevas versiones de un documento que incluye los prestadores cuyos certificados han comprobado ( Anexo – PSC ) la cadencia de publicación lleva varios meses de retraso respecto a la publicación por la SEDIA de la lista de confianza TSL española en PDF y XML (y la lista anexa de resumen de cambios Cambios TSL).

Y el mecanismo adoptado para la comprobación de certificados por @firma debería estar más automatizado, en especial para acoger los certificados cuyos perfiles siguen las pautas definidas en los estándares de ETSI (aplicables a personas y entidades de cualquier país), aunque caber entender que los certificados «especiales» de empleado público, de sello electrónico para las administraciones, y de sede electrónica puedan contener información adicional, ya que se han definido perfiles de certificados especiales para ello en el documento «Perfiles de Certificados 2.0«. No se entiende este retraso, especialmente si se tiene en cuenta que la SGAD (de la que depende @firma ) está en el mismo Ministerio que la SEDIA ( Organismo al que los Prestadores solicitan la cualificación y su inclusión en la TSL).

Voy a indicar a continuación referencias a varias leyes (y un reglamento europeo) para que se entienda que todos los organismo públicos deben admitir los certificados de todos los prestadores cualificados europeos indpendientemente del pais que los haya incluido en su lista TSL.

La reciente Ley 6/2020 indica:

Artículo 16. Mantenimiento de la lista de confianza.
1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.

3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.

Por otro lado, la Ley 39/2015 indica:

Artículo 9. Sistemas de identificación de los interesados en el procedimiento.
1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente.

2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:

a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.
(…)
Artículo 10. Sistemas de firma admitidos por las Administraciones Públicas.
1. Los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento.

2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:

a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

Por otro lado, el Reglamento Europeo UE 910 2014 indica en su artículo 25:

(…)
3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

De forma semejente, en su artículo 27 Firmas electrónicas en servicios públicos

1.   Si un Estado miembro requiere una firma electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firma electrónica y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere una firma electrónica avanzada basada en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán para la utilización transfronteriza de un servicio en línea ofrecido por un organismo del sector público una firma electrónica cuyo nivel de garantía de la seguridad sea superior al de una firma electrónica cualificada.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos de las firmas electrónicas avanzadas mencionadas en los apartados 1 y 2 del presente artículo y en el artículo 26 cuando una firma electrónica avanzada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Existen artículos semejantes para los sellos electrónico. Por ejemplo el artículo 35 indica:

(…)3. Un sello electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello electrónico cualificado en todos los demás Estados miembros.

Y el artículo Artículo 37 Sellos electrónicos en servicios públicos

1.   Si un Estado miembro requiere un sello electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado reconocido de sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere un sello electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, un sello electrónico cuyo nivel de seguridad sea superior al de un sello electrónico cualificado.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el artículo 36 cuando un sello electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En resumidas cuentas, los organismos públicos deben aceptar todos los certificados cualificados expedidos por Prestadores de Servicios de Certificación incluidos en las Lista de Servicios de Confianza Cualificados de todos los paises de la Unión Europea.

La lista de confianza europea está disponble en el siguiente enlace:
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml
Este fichero contiene los enlaces a las listas TSL de todos los estados miembros.

Los que sigan este blog han comprobado que no dejo de ser insistente porque llevo hablando de este tema desde hace más de 10 años (cada vez referenciando normas distintas, las vigentes en ese momento) y prueba de ello son los siguientes artículo:

2009 – Trust-service Status List (TSL) TS 102 231
2011 – Lista de confianza de prestadores de servicios de certificación (TSL)
2011- EU Trusted Lists of Certification Service Providers
2011 – Lista de confianza de prestadores de servicios de certificación (TSL)
2015 – ¿Donde están las TSL europeas?
2015 – ¿Cómo evolucionan las TSL europeas?
2017 – Listas de confianza TSL
2020 – Variaciones entre versiones de la Lista de Confianza de Prestadores de Servicios de Confianza (TSL) de España

Impulso a la ciberjusticia en España en el marco de los programas de cooperación de la CEPEJ

Deja un comentario

La CEPEJ (European Commission for the Efficiency of Justice) ha publicado un informe sobre el grado de avance de sus programas de cooperación.

Uno de ellos es el orientado al Impulso de la ciberjusticia en España mediante la gestión del cambio (fase II), financiado por la Unión Europea a través del Programa de Apoyo a la Reforma Estructural (Structural Reform Support Programme) y en cooperación con la DG de Apoyo a la Reforma Estructural (European Commission’s DG Structural Reform Support).

La duración prevista va de Junio de 2020 a Septiembre de 2021

El objetivo es ampliar la evaluación de las herramientas alternativas para el Programa de Justicia Digital incluendo las soluciones adoptadas por las Comunidades Autónomas con competencias en materia de administración de justicia y al objeto de facilitar más la la uniformidad y la coherencia de la ciberjusticia española.

Los beneficiarios y partes interesadas son: Ministerio de Justicia, Consejo General del Poder Judicial, Fiscalía General del Estado, Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE), y las Comunidades Autónomas con competencias en materia de administración de justicia.

Resultados esperados:

Se promoverá la adopción de las principales conclusiones y recomendaciones de los informes del CEPEJ 2019 sobre la desafíos en el proceso de aplicación de los instrumentos de ciberjusticia en el Reino de España y se facilitará su aplicación mediante el apoyo de expertos, grupos de trabajo temáticos, etc. Los avances de diferentes actores (Ministerio de Justicia y Comunidades Autónomas) en la aplicación de herramientas informáticas al servicio de la administración de justicia se evaluará mediante la realización de una auditoría nacional de soluciones alternativas de ciberjusticia;
Asesoramiento de expertos sobre la elaboración de una estrategia de gestión del cambio y técnicas y sobre su aplicación a través de amplias consultas e inclusión en el proceso de digitalización de la administración de justicia;
Facilitación del proceso de aplicación del expediente judicial electrónico y de la elaboración de directrices para una normativa procesal de carácter electrónico;
Sensibilización y creación de capacidad para los miembros de la la Secretaría del CTEAJE, el órgano de coordinación de los diferentes actores que participan en el desarrollo de la justicia digital.

Estado de la cuestión

El proyecto se lanzó oficialmente el 1 de junio de 2020, con una primera videoconferencia de coordinación celebrada el 25 de junio, en presencia de representantes del Ministerio de Justicia, junto con expertos y representantes de la Secretaría del CEPEJ, así como de la Unión Europea. Se debatieron las expectativas de las partes interesadas españolas y se previó un primer calendario de actividades.

cepej_coop_20206-en-july2020_en_state-of-implementation_finrev-8-july-2020.pdf Descarga

Los servicios de confianza digital y el comercio electrónico en la relación UK-EU tras el Brexit

Deja un comentario

draft_eu-uk_trade_and_cooperation_agreement Descarga

El borrador del acuerdo de comercio y cooperación entre la Unión Europea y la Comunidad Europea de Energía Atómica, por un lado, y el Reino Unido de Gran Bretaña e Irlanda del Norte por otro, se publicó finalmente el 25 de diciembre de 2020 tras anunciarse la Nochebuena previa que se había alcanzado el acuerdo.

Aunque el borrador está sujeto a cambios menores de redacción, se someterá a ratificación por los gobernos de los paises miembros, y de lograrse, se aplicará a partir del dia 1 de mes siguiente al que se haya producido dicha ratificación y la del Parlamento británico.

Los primeros meses desde el 1 de enero de 2021 pueden ser un poco caóticos salvo que se adopten medidas provisionales, cuestionables desde el punto de vista de la percepción de la soberanía de los países miembros o el Reino Unido solicite un aplazamiento de la fecha límite de vigencia del período de transición. Lo que no se espera, porque da la impresión de que el Primer Ministro británico precisamente pretende demostrar que permanecer en la Unión Europea supone renunciar a un cierto grado de soberanía nacional.

En el acuerdo, a partir de la página 116 el Título III se refiere a las condiciones de Comercio Electrónico (Digital Trade).

TITLE III: DIGITAL TRADE
Chapter 1: General provisions
Article DIGIT.1 Objective

The objective of this Title is to facilitate digital trade, to address unjustified barriers to trade enabled by electronic means and to ensure an open, secure and trustworthy online environment for businesses and consumers.

Article DIGIT.2 Scope

This Title applies to measures of a Party affecting trade enabled by electronic means.
This Title does not apply to audio-visual services.

Article DIGIT.3 Right to regulate

The Parties reaffirm the right to regulate within their territories to achieve legitimate policy objectives, such as the protection of public health, social services, public education, safety, the environment including climate change, public morals, social or consumer protection, privacy and data protection, or the promotion and protection of cultural diversity.

Article DIGIT.4 Exceptions

For greater certainty, nothing in this Title prevents the Parties from adopting or maintaining measures in accordance with Article EXC.1 [General exceptions], Article EXC.4 [Security exceptions] and Article SERVIN.5.39 [Prudential carve-out] for the public interest reasons set out therein.

Article DIGIT.5 Definitions

The definitions in Article SERVIN.1.2 [Definitions] of Title II [Services and investment] of this Heading apply to this Title.

For the purposes of this Title:
(a) «consumer» means any natural person using a public telecommunications service for other than professional purposes;
(b) «direct marketing communication» means any form of commercial advertising by which a natural or legal person communicates marketing messages directly to a user via a public telecommunications service and covers at least electronic mail and text and multimedia messages (SMS and MMS);
(c) «electronic authentication» means an electronic process that enables the confirmation of:
(i) the electronic identification of a natural or legal person, or
(ii) the origin and integrity of data in electronic form;
(d) «electronic registered delivery service» means a service that makes it possible to transmit data between third parties by electronic means and provides evidence relating to the handling of the transmitted data, including proof of sending and receiving the data, and that protects transmitted data against the risk of loss, theft, damage or any unauthorised alterations;
(e) «electronic seal» means data in electronic form used by a legal person which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity;
(f) «electronic signature» means data in electronic form which is attached to or logically associated with other data in electronic form that:
(i) is used by a natural person to agree on the data in electronic form to which it relates; and
(ii) is linked to the data in electronic form to which it relates in such a way that any subsequent alteration in the data is detectable;
(g) «electronic time stamp» means data in electronic form which binds other data in electronic form to a particular time establishing evidence that the latter data existed at that time;
(h) «electronic trust service» means an electronic service consisting of:
(i) the creation, verification and validation of electronic signatures, electronic seals, electronic time stamps, electronic registered delivery services and certificates related to those services;
(ii) the creation, verification and validation of certificates for website authentication; or
(iii) the preservation of electronic signatures, seals or certificates related to those services;
(i) «government data» means data owned or held by any level of government and by non-governmental bodies in the exercise of powers conferred on them by any level of government;
(j) «public telecommunications service» means any telecommunications service that is offered to the public generally;
(k) «user» means any natural or legal person using a public telecommunications service.

Chapter 2: Data flows and personal data protection
Article DIGIT.6 Cross-border data flows

The Parties are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted between the Parties by a Party:
(a) requiring the use of computing facilities or network elements in the Party’s territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of a Party;
(b) requiring the localisation of data in the Party’s territory for storage or processing;
(c) prohibiting the storage or processing in the territory of the other Party; or
(d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Parties’ territory or upon localisation requirements in the Parties’ territory.
The Parties shall keep the implementation of this provision under review and assess its functioning within three years of the date of entry into force of this Agreement. A Party may at any time propose to the other Party to review the list of restrictions listed in paragraph 1. Such a request shall be accorded sympathetic consideration.

Article DIGIT.7 Protection of personal data and privacy

Each Party recognises that individuals have a right to the protection of personal data and privacy and that high standards in this regard contribute to trust in the digital economy and to the development of trade.
Nothing in this Agreement shall prevent a Party from adopting or maintaining measures on the protection of personal data and privacy, including with respect to cross-border data transfers, provided that the law of the Party provides for instruments enabling transfers under conditions of general application34 for the protection of the data transferred.
Each Party shall inform the other Party about any measure referred to in paragraph 2 that it adopts or maintains.

Chapter 3: Specific provisions
Article DIGIT.8 Customs duties on electronic transmissions

Electronic transmissions shall be considered as the supply of a service within the meaning of Title II [Services and investment] of this Heading.
The Parties shall not impose customs duties on electronic transmissions.

Article DIGIT.9 No prior authorisation

A Party shall not require prior authorisation of the provision of a service by electronic means solely on the ground that the service is provided online, and shall not adopt or maintain any other requirement having an equivalent effect.
A service is provided online when it is provided by electronic means and without the parties being simultaneously present.
Paragraph 1 does not apply to telecommunications services, broadcasting services, gambling services, legal representation services or to the services of notaries or equivalent professions to the extent that they involve a direct and specific connection with the exercise of public authority.

Article DIGIT.10: Conclusion of contracts by electronic means

Each Party shall ensure that contracts may be concluded by electronic means and that its law neither creates obstacles for the use of electronic contracts nor results in contracts being deprived of legal effect and validity solely on the ground that the contract has been made by electronic means.
Paragraph 1 does not apply to the following:
(a) broadcasting services;
(b) gambling services;
(c) legal representation services;
(d) the services of notaries or equivalent professions involving a direct and specific connection with the exercise of public authority;
(e) contracts that require witnessing in person;
(f) contracts that establish or transfer rights in real estate;
(g) contracts requiring by law the involvement of courts, public authorities or professions exercising public authority;
(h) contracts of suretyship granted, collateral securities furnished by persons acting for purposes outside their trade, business or profession; or
(i) contracts governed by family law or by the law of succession.

Article DIGIT.11 Electronic authentication and electronic trust services

A Party shall not deny the legal effect and admissibility as evidence in legal proceedings of an electronic document, an electronic signature, an electronic seal or an electronic time stamp, or of data sent and received using an electronic registered delivery service, solely on the ground that it is in electronic form.
A Party shall not adopt or maintain measures that would:
(a) prohibit parties to an electronic transaction from mutually determining the appropriate electronic authentication methods for their transaction; or
(b) prevent parties to an electronic transaction from being able to prove to judicial and administrative authorities that the use of electronic authentication or an electronic trust service in that transaction complies with the applicable legal requirements.
Notwithstanding paragraph 2, a Party may require that for a particular category of transactions, the method of electronic authentication or trust service is certified by an authority accredited in accordance with its law or meets certain performance standards which shall be objective, transparent and non-discriminatory and only relate to the specific characteristics of the category of transactions concerned.

Article DIGIT.12: Transfer of or access to source code

A Party shall not require the transfer of, or access to, the source code of software owned by a natural or legal person of the other Party.
For greater certainty:
(a) the general exceptions, security exceptions and prudential carve-out referred to in Article DIGIT.4 [Exceptions] apply to measures of a Party adopted or maintained in the context of a certification procedure; and
(b) paragraph 1 of this Article does not apply to the voluntary transfer of, or granting of access to, source code on a commercial basis by a natural or legal person of the other Party, such as in the context of a public procurement transaction or a freely negotiated contract.
Nothing in this Article shall affect:
(a) a requirement by a court or administrative tribunal, or a requirement by a competition authority pursuant to a Party’s competition law to prevent or remedy a restriction or a distortion of competition;
(b) a requirement by a regulatory body pursuant to a Party’s laws or regulations related to the protection of public safety with regard to users online, subject to safeguards against unauthorised disclosure;
(c) the protection and enforcement of intellectual property rights; and
(d) the right of a Party to take measures in accordance with Article III of the GPA as incorporated by Article PPROC.2 [Incorporation of certain provisions of the GPA and covered procurement] of Title VI [Public procurement] of this Heading.

Article DIGIT.13 Online consumer trust

Recognising the importance of enhancing consumer trust in digital trade, each Party shall adopt or maintain measures to ensure the effective protection of consumers engaging in electronic commerce transactions, including but not limited to measures that:
(a) proscribe fraudulent and deceptive commercial practices;
(b) require suppliers of goods and services to act in good faith and abide by fair commercial practices, including through the prohibition of charging consumers for unsolicited goods and services;
(c) require suppliers of goods or services to provide consumers with clear and thorough information, including when they act through intermediary service suppliers, regarding their identity and contact details, the transaction concerned, including the main characteristics of the goods or services and the full price inclusive of all applicable charges, and the applicable consumer rights (in the case of intermediary service suppliers, this includes enabling the provision of such information by the supplier of goods or services); and
(d) grant consumers access to redress for breaches of their rights, including a right to remedies if goods or services are paid for and are not delivered or provided as agreed.

The Parties recognise the importance of entrusting their consumer protection agencies or other relevant bodies with adequate enforcement powers and the importance of cooperation between these agencies in order to protect consumers and enhance online consumer trust.

Article DIGIT.14 Unsolicited direct marketing communications

Each Party shall ensure that users are effectively protected against unsolicited direct marketing communications.
Each Party shall ensure that direct marketing communications are not sent to users who are natural persons unless they have given their consent in accordance with each Party’s laws to receiving such communications.
Notwithstanding paragraph 2, a Party shall allow natural or legal persons who have collected, in accordance with conditions laid down in the law of that Party, the contact details of a user in the context of the supply of goods or services, to send direct marketing communications to that user for their own similar goods or services.
Each Party shall ensure that direct marketing communications are clearly identifiable as such, clearly disclose on whose behalf they are made and contain the necessary information to enable users to request cessation free of charge and at any moment.
Each Party shall provide users with access to redress against suppliers of direct marketing communications that do not comply with the measures adopted or maintained pursuant to paragraphs 1 to 4.

Article DIGIT.15 Open government data

The Parties recognise that facilitating public access to, and use of, government data contributes to stimulating economic and social development, competitiveness, productivity and innovation.
To the extent that a Party chooses to make government data accessible to the public, it shall endeavour to ensure, to the extent practicable, that the data:
(a) is in a format that allows it to be easily searched, retrieved, used, reused, and redistributed;
(b) is in a machine-readable and spatially-enabled format;
(c) contains descriptive metadata, which is as standard as possible;
(d) is made available via reliable, user-friendly and freely available Application Programming Interfaces;
(e) is regularly updated;
(f) is not subject to use conditions that are discriminatory or that unnecessarily restrict re-use; and
(g) is made available for re-use in full compliance with the Parties’ respective personal data protection rules.

The Parties shall endeavour to cooperate to identify ways in which each Party can expand access to, and use of, government data that the Party has made public, with a view to enhancing and generating business opportunities, beyond its use by the public sector.

Article DIGIT.16 Cooperation on regulatory issues with regard to digital trade

The Parties shall exchange information on regulatory matters in the context of digital trade, which shall address the following:
(a) the recognition and facilitation of interoperable electronic trust and authentication services;
(b) the treatment of direct marketing communications;
(c) the protection of consumers; and
(d) any other matter relevant for the development of digital trade, including emerging technologies.
Paragraph 1 shall not apply to a Party’s rules and safeguards for the protection of personal data and privacy, including on cross-border transfers of personal data.
Article DIGIT.17 – Understanding on computer services
The Parties agree that, for the purpose of liberalising trade in services and investment in accordance with Title II [Services and Investment] of this Heading, the following services shall be considered as computer and related services, regardless of whether they are delivered via a network, including the Internet:
(a) consulting, adaptation, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, support, technical assistance or management of or for computers or computer systems;
(b) computer programmes defined as the sets of instructions required to make computers work and communicate (in and of themselves), as well as consulting, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, adaptation, maintenance, support, technical assistance, management or use of or for computer programmes;
(c) data processing, data storage, data hosting or database services;
(d) maintenance and repair services for office machinery and equipment, including computers; and
(e) training services for staff of clients, related to computer programmes, computers or computer systems, and not elsewhere classified.
For greater certainty, services enabled by computer and related services, other than those listed in paragraph 1, shall not be regarded as computer and related services in themselves.

Todo es electrónico

Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital

Lista actualizada de las soluciones de Digitalización Certificada aprobadas por la AEAT

Public Key of Spain CSCA for European digital COVID certificate

Uso de certificados electrónicos para la firma electrónica de certificados verdes digitales

Thales anuncia la certificación EIDAS para firma remota de sus HSM

La revista «Escritura Pública» cumple 20 años

ARCE, Archivo de Constancias Electrónicas, un buen ejemplo

Los organismos públicos españoles no gestionan correctamente los certificados cualificados

Impulso a la ciberjusticia en España en el marco de los programas de cooperación de la CEPEJ

Los servicios de confianza digital y el comercio electrónico en la relación UK-EU tras el Brexit